Ransomware

Se i tuoi file non sono più accessibili e ora vengono visualizzati con il nuovo .MEOW estensione (quindi .METTERE IN, .CREMLINO ed .RUSSIA estensioni), allora molto probabilmente sei stato infettato da Meow Ransomware (aka MeowCorp2022 Ransomware ed ContiStolen Ransomware). Questo crittografo di file blocca l'accesso a praticamente tutti i tipi di dati archiviati nel sistema utilizzando l'algoritmo ChaCha20 e richiede alle vittime di stabilire un contatto con i suoi sviluppatori (presumibilmente per pagare la decrittazione). Inoltre, è stato anche stabilito che questo ransomware funziona su codice rubato da un altro popolare crittografo di file chiamato Conti-2 Ransomware. Le informazioni su come contattare i truffatori possono essere trovate all'interno di una nota di testo chiamata readme.txt, che il virus rilascia in ogni cartella con file crittografati.

Loplup è un virus di crittografia dei file che è stato determinato come parte del ZEPPELIN famiglia di ransomware. Pur limitando l'accesso ai dati archiviati nel sistema, rinomina i file attaccati aggiungendo la personalizzazione .loplup.[victim's_ID] estensione. Ciò significa un file precedentemente chiamato 1.pdf cambierà in qualcosa del tipo 1.pdf.loplup.312-A1A-FD7. Nota che l'ID della vittima è variabile, quindi può essere diverso nel tuo caso. Dopo la corretta crittografia dei dati, Loplup crea un file di testo (!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT) che contiene le linee guida per la decrittazione.

FirstKill è un'infezione ransomware progettata per crittografare i dati degli utenti e ricattare le vittime facendole pagare un riscatto finanziario per il suo recupero. Utilizza algoritmi di livello militare AES e RSA per eseguire una crittografia avanzata e impedire alle vittime di accedere nuovamente ai propri file. Durante questo processo, FirstKill rinomina anche tutti i file di destinazione con .FirstKill estensione e reimposta le icone originali su vuote. Ad esempio, un file precedentemente non modificato come 1.pdf cambierà in 1.pdf.FirstKill e diventare non più accessibile. In seguito, il virus crea una nota di testo chiamata CO_SIĘ_STAŁO.html che contiene le istruzioni per decrittografare i dati.

ChinaHelper è un virus ransomware progettato per crittografare i dati personali e ricattare le vittime affinché paghino il riscatto. Pur limitando l'accesso ai dati con l'aiuto degli algoritmi AES-256 e RSA-2048, il virus assegna il .cnh estensione in modo che un file come 1.pdf si trasforma in 1.pdf.cnh, per esempio. La prossima cosa che fa ChinaHelper è creare una nota di testo chiamata README.txt. C'è anche un'altra variante avvistata in una distribuzione successiva, che ha assegnato .cnhelp or .charm estensione ai file e ha creato il file HOW_TO_RETURN_FILES.txt file invece.

Bom è il nome di un'infezione ransomware. Il malware all'interno di questa categoria crittografa i dati archiviati nel sistema e richiede alle vittime di pagare denaro per il loro ritorno. Questa variante di ransomware è anche un sottoprodotto di VoidCrypt famiglia. Durante la crittografia, il virus rinomina tutti i file di destinazione in base a questo esempio: 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. I file rinominati possono variare leggermente (ad es. stringhe di caratteri diverse), ma la base rimarrà la stessa. Dopo aver limitato con successo l'accesso ai dati, il ransomware crea una nota di testo chiamata Scratch - fornire linee guida per la decrittazione.

DASHA Ransomware è una nuova variante di Eternity Ransomware. Questo malware è progettato per crittografare i dati archiviati nel sistema e richiedere denaro per la sua decrittazione. Mentre limita l'accesso ai file (ad es. foto, video, documenti, database, ecc.), il virus altera l'aspetto del file con il .ecrp estensione. Ad esempio, un file precedentemente denominato 1.pdf cambierà quindi in 1.pdf.ecrp e diventare non più accessibile. Una volta che questo processo si conclude e tutti i file mirati vengono infine rinominati, DASHA sostituisce gli sfondi del desktop e visualizza una finestra pop-up con le istruzioni per il riscatto.

Loki Locker è il nome di un virus ransomware progettato per estorcere denaro alle vittime eseguendo una crittografia avanzata dei dati. Utilizza una combinazione di algoritmi AES-256 e RSA-2048 e altera anche i nomi dei dati crittografati in base a questo modello - [][]original_file.Loki. Ad esempio, un file precedentemente denominato 1.pdf cambierà in [DecNow@TutaMail.Com][C279F237]1.pdf.Loki e diventare non più accessibile. Vale la pena notare che ci sono anche alcune versioni più recenti di Loki Locker, che rinominano i dati con .Rainman, .Adair, .Boresh, .PayForKey, o .Spyro estensioni. Dopo il corretto blocco dei file, il virus crea due file (Restore-My-Files.txt ed info.hta) con simili istruzioni di richiesta di riscatto. Inoltre, Loki Locker sostituisce anche gli sfondi del desktop per visualizzare brevi passaggi su ciò che dovrebbe essere fatto.

Essendo una nuova variante di PGPCoder Ransomware, LOL! è inoltre progettato per crittografare i dati archiviati nel sistema con l'aiuto di algoritmi asimmetrici RSA e AES. Tali algoritmi sono spesso potenti rendendo la decrittazione manuale quasi impossibile, tuttavia, questo deve ancora essere discusso in dettaglio più avanti. Durante la crittografia, il virus aggiunge anche il suo .LOL! estensione a ciascun file interessato. Per un esempio, se lo fosse 1.pdf attaccato dal crittografo, cambierebbe in 1.pdf.LOL! e diventare non più utilizzabile. Non appena tutti i file di destinazione vengono limitati all'accesso, il virus elimina il file get data.txt file in ogni cartella contenente dati crittografati (incluso il desktop). Questo file ha lo scopo di spiegare cosa è successo e, soprattutto, istruire le vittime attraverso il processo di recupero.