Ransomware

IceFire è il nome di un'infezione del computer classificata come ransomware. I criminali informatici dietro di esso prendono di mira la crittografia dei dati degli utenti aziendali e quindi estorcono denaro (nella criptovaluta Monero) per la decrittografia dei file. Durante l'analisi dei rapporti tecnici del virus, lo abbiamo visto utilizzare una combinazione di algoritmi crittografici AES + RSA per crittografare importanti dati. Proprio come altre infezioni simili, IceFire Ransomware utilizza la propria estensione - .iFire per evidenziare i dati riservati. Per illustrare, un file precedentemente intitolato 1.pdf cambierà in 1.pdf.iFire e diventare non più accessibile. Dopo la corretta crittografia, i criminali informatici forniscono istruzioni su quali passaggi di ripristino dovrebbero essere intrapresi all'interno del iFire-readme.txt nota.

Venus è un virus di tipo ransomware che è stato recentemente scoperto da un ricercatore di malware chiamato S!Ri. La sua funzione principale è la crittografia dei file e anche l'estorsione di denaro per la decrittazione alle vittime. Durante la crittografia dei dati con algoritmi crittografici, tutti i file interessati vengono modificati con .venus estensione. Per illustrare, se 1.pdf finisce per essere colpito dall'infezione, lo diventerà 1.pdf.venus anche e ripristina la sua icona originale. Successivamente, le vittime imparano a familiarizzare con le istruzioni di decrittazione all'interno del file README.txt nota. Anche gli sfondi del desktop vengono sostituiti.

WildFire Locker è un programma dannoso classificato come ransomware. Funziona limitando l'accesso ai dati (con algoritmi di crittografia AES-256 CBC) e quindi richiedendo denaro alle vittime. Durante il processo di crittografia dei dati, tutti i file di destinazione acquisiscono questo formato lungo e scritto #WildFire_Locker#[original file name]##.[original extension].wflx. I criminali informatici lo fanno per evidenziare la crittografia e far sì che le vittime lo riconoscano. Ad esempio, un file precedentemente denominato documents.pdf diventerà quindi qualcosa di simile #WildFire_Locker#documents##.pdf.wflx e ripristina anche la sua icona originale. Successivamente, il virus crea tre file con estensione .txt, .html e .bmp che forniscono informazioni rilevanti sulla procedura di decrittazione. Le istruzioni più dettagliate sono fornite all'interno del HOW_TO_UNLOCK_FILES_README_(ID univoco della vittima).txt nota di testo.

PLAY è un virus di tipo ransomware che esegue la crittografia di dati importanti ed estorce denaro alle vittime. Mentre rende i file inaccessibili, assegna il file .PLAY estensione e crea anche una nota di testo chiamata ReadMe.txt. Ad esempio, un file precedentemente intitolato 1.pdf cambierà in 1.pdf.PLAY e ripristina la sua icona dopo la crittografia. Da allora, le vittime perdono il controllo sui propri dati e devono leggere le istruzioni sul loro recupero nella nota di testo creata. È comune che le infezioni da ransomware vengano distribuite tramite tecniche di phishing. Un virus può essere mascherato da un file dall'aspetto legittimo (ad es. Word, Excel, PDF, EXE, JavaScript, RAR, ZIP, ecc.) ed essere inviato all'interno di una e-mail di spam. Tale lettera può presentare informazioni che spiegano "l'importanza" dell'apertura di file o collegamenti allegati.

Ransomcrow è un'infezione ransomware progettata per crittografare dati preziosi e ricattare le vittime facendole pagare denaro per il loro recupero. Durante la crittografia, assegna il .encrypted estensione, che è generica per molti crittografi di file. Per illustrare, un file inizialmente denominato 1.pdf cambierà in 1.pdf.encrypted e rilascia anche la sua icona. Successivamente, il virus crea una nota di testo chiamata readme.txt e sostituisce anche gli sfondi del desktop. Le informazioni all'interno della nota generata hanno lo scopo di guidare le vittime attraverso il processo di recupero. Si dice che un pagamento equivalente a € 50 in Bitcoin sia necessario per il trasferimento per ottenere speciali strumenti di decrittazione e restituire i dati. Le vittime possono anche contattare i truffatori per comunicazioni di persona tramite l'indirizzo e-mail fornito (ransomcrow@proton.me). Di norma, la decrittazione senza l'aiuto dei criminali informatici è molto complessa e persino impossibile: potrebbe essere il contrario se ci sono alcuni bug o difetti che alleviano le interferenze di terze parti.

Payt è il nome di un'infezione ransomware che crittografa i dati archiviati nel sistema e ricatta le vittime facendole pagare denaro per il loro ritorno. Lo fa aggiungendo nuovi nomi di file (costituiti da ID univoco della vittima, e-mail dei criminali informatici e .Payt or .payt estensione). Ad esempio, questo è il modo in cui probabilmente apparirà un file immagine infetto da Payt Ransomware - 1.png.[MJ-YK7364058912](wesleypeyt@tutanota.com).Payt. Dopo questo, ha chiamato una nota che richiedeva denaro ReadthisforDecode.txt viene generato sul desktop. Come indicato in questo messaggio, le vittime devono scrivere un'e-mail agli indirizzi wesleypeyt@tutanota.com o wesleypeyt@gmail.com ed esprimere il loro interesse alla decrittazione dei dati. È anche possibile inviare un file di prova e farlo decodificare gratuitamente: in questo modo i criminali informatici cercano di dimostrare che la loro decrittazione funziona effettivamente e su cui si può fare affidamento.

World2022decoding è una recente infezione da ransomware che è stata individuata mentre crittografava i dati memorizzati sul dispositivo e ricattava le vittime per pagarle. Durante la crittografia, a tutti i file interessati viene aggiunto l'ID personale della vittima e il file .world2022decoding anche l'estensione. Di conseguenza, acquisisce un nuovo aspetto simile a questo, da precedentemente non infetto 1.png ad ora limitato 1.png.[9222911A].world2022decoding. Questo è solo un esempio e può succedere a qualsiasi dato, in particolare documenti e database. I criminali informatici creano anche una nota di testo chiamata WE CAN RECOVER YOUR DATA.MHT che comporta istruzioni su come restituire i file.

Arai è un programma dannoso che prende di mira gli utenti aziendali per crittografare i dati aziendali e chiedere alle vittime di pagare denaro per il loro ritorno. Mentre limita l'accesso ai dati, il virus altera i file con .araicrypt estensione, che porta anche a icone vuote. Ad esempio, un file come 1.pdf cambierebbe in 1.pdf.araicrypt e perde la sua icona originale. Successivamente, i dati diventano inaccessibili e non più utilizzabili. Il passo successivo che Arai fa è creare una nota di testo chiamata READ_TO_RESTORE_YOUR_FILES.txt. Questa nota fornisce chiarimenti su ciò che è accaduto e su come le vittime possono riprendersi. In breve, i criminali informatici informano che tutti i dati importanti (banche dati, dati dei clienti, ecc.) sono stati copiati e i backup locali sono stati eliminati. Si dice inoltre che in caso di mancato rispetto delle istruzioni fornite, le vittime perderanno la possibilità di recuperare i dati e saranno anche soggette a sofferenze sia finanziarie che reputazionali, a causa della potenziale pubblicazione dei dati che potrebbe derivarne in seguito. In caso contrario, le vittime dovrebbero contattare i truffatori utilizzando uno degli indirizzi e-mail forniti e pagare per la decrittazione (presumibilmente costosa e in criptovaluta). In tal caso, gli estorsionisti promettono di cancellare i dati raccolti e di non pubblicarli, quindi.