Ransomware

Ehi è un virus pericoloso che esegue la crittografia dei dati utilizzando codici crittografici per impedire alle vittime di accedervi. Questo tipo di infezione è classificato come ransomware e mira a convincere le sue vittime a inviare denaro per la decrittazione. Per mostrare che i file archiviati su un PC sono stati crittografati, il virus assegna i propri .eeyeee estensione con stringhe di simboli casuali generate in modo univoco per ogni campione crittografato. Ad esempio, un file come 1.pdf dovrà affrontare un cambiamento 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee o in modo simile con altri simboli. I file crittografati verranno bloccati da qualsiasi accesso e anche le loro icone verranno ripristinate in bianco. Quasi immediatamente dopo la crittografia, Eeyee crea il file 6pZZ_HOW_TO_DECRYPT.txt nota di testo con istruzioni di riscatto. La nota ha lo scopo di informare le vittime sui cambiamenti e guidarle attraverso il processo di recupero. I criminali informatici affermano che è obbligatorio acquistare uno speciale software di decrittazione per restituire i file e prevenire perdite di dati compromessi. Alle vittime viene chiesto di contattare i truffatori utilizzando il collegamento onion in Tor Browser. Dopo aver completato questi passaggi, le vittime si metteranno in contatto con gli sviluppatori e impareranno ulteriori dettagli sull'acquisto degli strumenti. La nota contiene anche alcuni messaggi che consigliano di non modificare i dati o di chiedere aiuto a terzi (FBI, Polizia, società di recupero, ecc.).

Devi pagare è un tipo di virus classificato come ransomware. Funziona crittografando i file personali e chiedendo denaro per il loro ritorno. Durante questo processo, il ransomware assegna il .devi pagare estensione a tutti i dati bloccati. Ad esempio, un file come 1.pdf sarà cambiato in 1.pdf.youneedtopay e ripristina la sua icona originale. Dopo aver aggiunto queste modifiche, il virus crea una nota di testo chiamata LEGGI_QUESTO.txt che ha lo scopo di spiegare le istruzioni di decrittazione. Anche gli sfondi del desktop vengono modificati. Dai un'occhiata più da vicino a qual è il contenuto lì.

Armadietto amministratore è il nome di un virus ransomware che ha iniziato la sua diffusione nel dicembre 2021. Utilizza una combinazione di algoritmi AES+RSA per scrivere codici crittografici sicuri sui dati archiviati. Ciò influisce sull'accesso ai file e sul loro aspetto visivo. Admin Locker aggiunge una delle seguenti estensioni a tutti i dati bloccati: .admin1, .admin2, .admin3, .1admin, .2admin, o .3admin. Non importa quale di loro è stato applicato a te. La loro unica funzione è mostrare che i file sono stati crittografati e far sì che le vittime lo vedano. Ad esempio, un file come 1.pdf cambierà in 1.pdf.1admin (o altra estensione) e diventano non più accessibili. Al termine della crittografia, Admin Locker spiega come recuperare i dati nella sua nota di testo (!!!Recovery File.txt) e nella sua pagina Web a cui è possibile accedere tramite il collegamento TOR.

Non c'è modo è un'infezione ransomware che crittografa tutti i dati importanti utilizzando algoritmi AES-256. Rinomina anche i dati bloccati con simboli generati casualmente e .non c'è modo estensione. Per illustrare, un file come 1.pdf cambierà in 611hbRZBWdCCTALKlx.noway e perde la sua icona originale dopo la crittografia riuscita. Di norma, la maggior parte dei file crittografati da ransomware non può essere decifrata senza l'aiuto dei criminali informatici. Nonostante ciò, Noway Ransomware è uno dei pochi che può essere ufficialmente decrittografato utilizzando lo strumento Emisoft gratuitamente. Puoi scaricarlo ulteriormente nella nostra guida qui sotto. Ti invitiamo a non affrettarti con il processo di decrittazione poiché devi prima eliminare il virus (guidato anche in questo tutorial). Oltre a eseguire la crittografia sui dati personali, Nowy emette una nota di testo chiamata Sblocca il tuo file Instraction.txt. La nota mostra come recuperare i tuoi dati con l'aiuto di sviluppatori di ransomware. I truffatori danno 72 ore per decidere di pagare il riscatto. Se le vittime superano questa data scadenza di pagamento, i truffatori affermano che i tuoi dati diventeranno inaccessibili per sempre. Questo non è vero poiché gli sviluppatori Emisoft sono riusciti a decifrare i codici e aiutare le vittime a decifrare i file di Noway gratuitamente.

RL Wana-XD è un'infezione ransomware che crittografa i dati importanti memorizzati su un PC. Per evidenziarlo, il virus annuncia il suo .XD-99 estensione a tutti i nomi di file interessati. Ad esempio, un file come 1.pdf cambierà in 1.pdf.XD-99 e ripristina la sua icona originale. Di conseguenza, le vittime non saranno più in grado di accedere al file e sfogliarne il contenuto. Per annullare queste implicazioni, gli sviluppatori di RL Wana-XD offrono alle loro vittime di leggere speciali istruzioni di decrittazione all'interno di una nota di testo (Readme.txt). La nota di testo è breve, ma specifica: gli sviluppatori affermano che l'unico modo per restituire i tuoi dati è pagare per un software e una chiave di decrittazione univoci. Per fare ciò, le vittime sono guidate a contattare i truffatori attraverso Wana-XD@bk.ru or RL000@protonmail.ch indirizzi email. Sfortunatamente, le chiavi utilizzate da RL Wana-XD Ransomware per crittografare i tuoi dati sono spesso sicure e archiviate in modalità ONLINE. Ciò significa che è probabile che la decrittazione manuale con l'aiuto di strumenti di terze parti non dia frutti o riesca a decodificare solo una parte dei dati. A meno che tu non abbia il tuo ID personale che termina con t1, la decrittazione di terze parti avrà meno probabilità di aiutare. Allo stesso tempo, pagare i criminali informatici è sempre associato a un rischio in quanto possono ingannare le loro vittime e non inviare alcuna decrittazione promessa.

Razer è il nome di un'infezione ransomware che esegue la crittografia dei dati chiedendo alle vittime di pagare per la restituzione. Gli utenti infettati da questo virus vedranno i nomi dei file modificati con una stringa casuale di caratteri, l'indirizzo e-mail dei criminali informatici (razer1115@goat.si), E .razer estensione alla fine. Ad esempio, un file denominato 1.pdf che ha subito queste modifiche sarà simile a questo 1.pdf.[42990E91].[razer1115@goat.si].razer e reimposta la sua icona su vuota. Per decrittografare i dati, gli sviluppatori di virus si offrono di seguire le istruzioni fornite all'interno del readme-warning.txt nota di testo. Si dice che le vittime dovrebbero contattare i truffatori utilizzando una delle e-mail (razer1115@goat.si, pecunia0318@tutanota.com, o pecunia0318@capra.si) e pagare il riscatto in bitcoin. Per convincere le vittime che possono essere affidabili, i criminali informatici offrono la cosiddetta opzione di garanzia in cui le vittime possono inviare 2 file con estensioni semplici (max 1 MB) e riceverli decrittati gratuitamente. Molti creatori di ransomware usano questo trucco per indurre le vittime a pagare il riscatto e rimanere in contatto con loro. Ti consigliamo vivamente di evitare di soddisfare le richieste degli sviluppatori e di recuperare i tuoi dati utilizzando invece un backup.

Scoperto da un ricercatore di malware di nome S!Ri, Surtra è un programma ransomware sviluppato per crittografare vari tipi di dati personali. È sempre comune vedere file popolari come musica, foto e documenti colpiti durante l'attacco del virus. Surtr utilizza l'e-mail dei criminali informatici (DecryptMyData@mailfence.com) e .SURT estensione per rinominare tutti i dati bloccati. Ad esempio, un file come 1.pdf cambierà in 1.pdf.[DecryptMyData@mailfence.com].SURT e reimposta la sua icona originale su vuota. La stessa modifica verrà applicata ad altri dati che sono passati attraverso la crittografia. Inoltre, ci sono anche due file che vengono creati dopo la crittografia riuscita: una nota di testo chiamata SURTR_README.txt ed SURTR_README.hta che ha lo scopo di aprire una finestra pop-up. Entrambi questi file vengono utilizzati per fornire istruzioni ransomware per le vittime. Puoi dare un'occhiata da vicino al loro contenuto qui sotto:

Essere parte di Famiglia di ransomware Dharma, Dr è un altro criptatore di file che blocca l'accesso ai dati e chiede alle sue vittime di pagare soldi per la restituzione. Non appena la crittografia entra in vigore, tutti i file archiviati su un sistema verranno modificati con l'ID univoco delle vittime, l'indirizzo e-mail degli sviluppatori e .dott estensione. Un campione affetto come 1.pdf si trasformerà in qualcosa del genere 1.pdf.id-1E857D00.[dr.decrypt@aol.com].dre così via con altri tipi di dati crittografati. L'unica informazione variabile sono gli ID delle vittime, quindi è molto probabile che siano diversi per ogni utente infetto. Dopo la crittografia, il virus crea una nota di testo chiamata FILE ENCRYPTED.txt. Inoltre, apre forzatamente una finestra pop-up contenente le stesse istruzioni di riscatto della nota. Alle vittime vengono fornite istruzioni per contattare gli estorsori tramite comunicazione e-mail. Il loro indirizzo di posta elettronica è visibile anche all'interno della nuova estensione che viene aggiunta ai dati bloccati. Nel caso in cui gli sviluppatori non rispondano entro 12 ore, le vittime devono scrivere a un'altra e-mail indicata nella nota. Inoltre, i truffatori dietro Dr Ransomware avvertono anche le loro vittime di non rinominare i file o utilizzare strumenti di terze parti per decrittografarli. Non ci sono nemmeno informazioni su quanto le vittime dovrebbero pagare per la decrittazione dei loro dati poiché questo sarà noto quando si contattano le frodi.