Ransomware

anime è il nome di un criptovirus. È progettato per rendere i dati memorizzati nel sistema inaccessibili e non più utilizzabili. Gli utenti infettati da ransomware possono vedere il processo di crittografia guardando i file con restrizioni: tutti finiscono per essere modificati con il .anime estensione. Ad esempio, un file come 1.pdf sarà modificato in 1.pdf.anime e ripristina anche la sua icona originale. Dopo aver completato le operazioni con la crittografia, il virus lancia istruzioni di riscatto su come recuperare i dati. Possono essere trovati all'interno di un file di testo chiamato I_LOVE_ANIME.txt. Come indicato nella nota, le vittime hanno 2 giorni di tempo per contattare i criminali informatici all'indirizzo zdarovachel@gmx.at e pagare per la decrittazione dei file. Se le vittime non rispettano la scadenza assegnata, tutti i dati crittografati verranno pubblicati su risorse del dark web per abusi futuri. Inoltre, gli sviluppatori di ransomware sconsigliano anche di modificare i file o di tentare di decrittografarli senza criminali informatici. Al momento della stesura di questo articolo, non esiste un modo garantito per decrittografare i dati gratuitamente senza l'aiuto degli sviluppatori iniziali.

Kashima (Kashima Ware) è un programma ransomware, il tipo di software dannoso progettato per crittografare i dati e richiedere denaro per il loro ritorno. A differenza di altre infezioni di questo tipo, il virus prende di mira formati di file specifici e piuttosto insoliti - .config, .cfg, .js, .NOOB, .lua, .lwe .tryme anche. Li modifica quindi con il .KASHIMA estensione. Ad esempio, un file come 1.js cambierà in 1.js.KASHIMA, 1.cfg a 1.cfg.KASHIMA e così via con altri dati interessati. Non appena questo processo viene completato, Kashima visualizza un messaggio pop-up (KashimaWare ATTENZIONE!) su tutto lo schermo.

Scusa, sono solo affari è il nome di un virus ransomware. Come altre infezioni di questo tipo, crittografa i dati personali e ricatta le vittime facendole pagare un riscatto. Il processo di crittografia può essere facilmente individuato guardando i file interessati. Sorryitsjustbusiness cambia le loro estensioni originali in caratteri casuali e ripristina le icone in bianco. Per illustrare, un file come 1.pdf potrebbe cambiare in 1.pdf.ws9y, 1.png a 1.png.kqfbe così via con altre estensioni e file casuali. Dopo la corretta crittografia, il virus crea una nota di testo chiamata read_it.txt e installa nuovi sfondi per il desktop. Sia la nota di testo che gli sfondi mostrano informazioni su come recuperare i dati. Si dice che le vittime debbano acquistare una chiave esclusiva per decrittografare i loro file. Il costo di questa chiave è di ben 150,000 $ da pagare in Bitcoin all'indirizzo crittografico allegato. Dopo che il trasferimento è stato effettuato, le vittime dovrebbero informare i truffatori inviando un messaggio al loro indirizzo e-mail (scusatesolobusiness@protonmail.com). Se le vittime non riescono a farlo entro 24 ore dall'infezione, il prezzo per la decrittazione raddoppierà. Si dice anche che i file crittografati verranno eliminati dopo 48 ore di inattività delle vittime. Sulla base dell'importo del riscatto richiesto, possiamo quindi presumere che l'obiettivo di Sorryitsjustbusiness sia puntato su aziende con un buon livello di guadagni. Di norma, non è consigliabile fidarsi dei criminali informatici e pagare il riscatto che vogliono.

Essere parte di polvere famiglia, ARMADIO ANUBIZ è un'infezione ransomware progettata per crittografare i dati. Lo fa utilizzando algoritmi di crittografia sicura e modificando i nomi dei dati interessati con .lomer estensione. Per illustrare, un file chiamato 1.pdf cambierà in 1.pdf.lomer e reimposta la sua icona originale su vuota. Dopo aver limitato con successo l'accesso ai dati, il virus ricatta le vittime facendole pagare un riscatto. Questo è fatto attraverso il How To Restore Your Files.txt file di testo che viene creato su dispositivi compromessi. Il file dice che tutti i file importanti sono stati crittografati e copiati sui server dei criminali informatici, anche tutti i backup sono stati eliminati. Le vittime possono potenzialmente ripristinare i propri dati acquistando uno speciale software di decrittazione offerto dagli aggressori. Viene guidato a stabilire un contatto con i criminali informatici utilizzando il loro indirizzo e-mail per ottenere ulteriori dettagli sulla decrittazione. Gli utenti infetti possono anche allegare un file al proprio messaggio e farlo decodificare gratuitamente. Se le vittime ignorano queste richieste e si attardano a pagare il riscatto, i criminali informatici minacciano di iniziare a divulgare i file raccolti alle risorse del dark web.

Qmam4 è un'infezione ad alto rischio classificata come criptovirus. Il motivo per cui è chiamato in questo modo risiede nel suo comportamento dopo l'attacco: il virus richiede alle vittime di pagare una somma di denaro in criptovaluta per bloccare l'accesso ai dati. Tali infezioni sono anche conosciute come ransomware. Crittografano i dati personali e ricattano le vittime affinché paghino il riscatto. Durante la crittografia, Qmam4 allega una stringa di caratteri casuali e il nuovo .qmam4 estensione a ciascun file interessato. Per esempio, 1.pdf cambierà in 1.pdf.{random sequence}.qmam4 diventando non più accessibile. Successivamente, Qmam4 crea un file di testo chiamato C3QW_HOW_TO_DECRYPT.txt che illustra come le vittime possono sbloccare i propri dati. Si dice che le vittime possano decrittografare e impedire che dati importanti vengano venduti su risorse del dark web. Per fare ciò, alle vittime viene chiesto di contattare i criminali informatici utilizzando il collegamento Tor. Dopo aver contattato gli sviluppatori, presumibilmente ti diranno di inviare denaro in criptovaluta e di recuperare uno speciale strumento di decrittazione in seguito. Se le vittime si rifiutano di seguire le istruzioni, i dati raccolti verranno divulgati nelle mani di figure di terze parti. Sfortunatamente, la collaborazione con i criminali informatici potrebbe essere l'unico modo per decrittografare i tuoi dati ed evitare i dati esfiltrati pubblicamente. È meno probabile che alcuni strumenti di terze parti siano in grado di decrittografare i tuoi dati gratuitamente senza l'aiuto di aggressori.

ALBA è un virus di tipo ransomware progettato per crittografare i dati archiviati nel sistema e ricattare le vittime facendole pagare denaro per il loro ritorno. Durante la crittografia, tutti i file acquisiscono il nuovo .ALBASA estensione e reimpostare le icone originali su vuote. Questo è anche accompagnato dalla creazione di RESTORE_FILES_INFO.txt - una nota di testo contenente le istruzioni su come recuperare i dati bloccati.

Cantoper è un'infezione ransomware che è stata scoperta abbastanza di recente. Crittografa i file personali aggiungendo il file .canto aperto estensione e creazione del HELP_DECRYPT_YOUR_FILES.txt file di testo per ricattare le vittime affinché paghino il riscatto. Per illustrare, un file chiamato 1.pdf sarà modificato in 1.pdf.cantopen e rilascia la sua icona di collegamento originale. Tale modifica verrà applicata a tutti i dati di destinazione rendendoli non più accessibili.

Nero è il nome di un'infezione ransomware scoperta abbastanza di recente. È stato sviluppato per eseguire la crittografia dei dati e ricattare le vittime facendole pagare denaro per il suo ritorno. Le vittime possono individuare la decrittazione riuscita semplicemente guardando i loro file: la maggior parte di essi verrà modificata utilizzando il .black estensione e perdere le icone originali. Per fare un esempio, 1.pdf sarà modificato in 1.pdf.black, 1.png a 1.png.blacke così via con il resto dei file di destinazione. Quindi, non appena questa parte della crittografia viene completata, il virus presenta le istruzioni di decrittazione all'interno di una nota di testo (read_me.txt).