Ransomware

STOP/Djvu è stata una delle famiglie di ransomware più popolari e devastanti che prende di mira molti utenti in tutto il mondo. È gestito da sviluppatori esperti che creano e rilasciano regolarmente nuove versioni di ransomware. Come altri malware di questo tipo, STOP/Djvu utilizza potenti algoritmi crittografici insieme all'assegnazione di estensioni personalizzate per limitare l'accesso ai dati. Successivamente, gli utenti non possono aprire i propri file poiché vengono bloccati con cifrari sicuri. Pur essendo depressi e mentalmente depressi dopo aver ricevuto il virus, i criminali informatici offrono una soluzione per il salvataggio dei file: acquistare uno speciale software di decrittazione che restituirà l'accesso ai dati. Mostrano le istruzioni di riscatto all'interno di una nota (.txt, HTML o finestra pop-up) che viene creata alla fine della crittografia. Alle vittime viene spesso chiesto di contattare gli sviluppatori e inviare una somma stimata di denaro in BTC o altre criptovalute. Tuttavia, è ovvio che molti vorrebbero evitarlo e recuperare i file gratuitamente o comunque a un prezzo contenuto. Questo è esattamente ciò di cui parleremo oggi. Segui la nostra guida di seguito per apprendere tutti i passaggi necessari da applicare per decrittografare o ripristinare i file bloccati da STOP/Djvu.

NRCL blocca l'accesso ai dati e chiede alle sue vittime di pagare il cosiddetto riscatto. Il malware che esegue la crittografia dei dati ed estorce denaro agli infetti è generalmente classificato come ransomware. NRCL lo fa utilizzando cifrari crittografici avanzati per impedire la decrittografia manuale dei file. Dopo la corretta crittografia, i file archiviati su un sistema subiranno due modifiche visive: il nuovo .NRCL l'estensione e le icone vengono reimpostate su vuoto. Un campione che ha subito queste modifiche sarebbe simile a questo 1.pdf.NRCL. Inoltre, NRCL crea un file di testo chiamato Nota.txt con le istruzioni su come restituire i tuoi dati. Le stesse informazioni sono nascoste anche all'interno di una piccola utility di decrittazione che può essere aperta tramite Nrcl_decryptor.exe. Il contenuto di entrambi i file dice che c'è un solo modo per recuperare i tuoi dati: paga 300$ per la decrittazione. Gli estorsori guidano anche le vittime a non chiudere il PC o eseguire manipolazioni con i file. Per completare il pagamento e ottenere una chiave di decrittazione speciale, le vittime devono contattare gli sviluppatori tramite comunicazione e-mail. Successivamente, le vittime dovrebbero ricevere la chiave, inserirla nello spazio dedicato della finestra pop-up e fare clic su Decrypt. Tuttavia, al momento della stesura di questo articolo, gli esperti di malware hanno scoperto che le e-mail fornite da NRCL sono inesistenti, il che significa che questo ransomware può essere ancora in fase di sviluppo.

MME è classificato come un'infezione ransomware che si diffonde in sistemi non protetti per crittografare i dati ed estorcere denaro alle vittime per il suo ritorno. Il virus utilizza la propria estensione (.SIG.RA) per evidenziare i dati bloccati e far individuare agli utenti la sua restrizione. Ad esempio, un file precedentemente intatto chiamato 1.pdf cambierà in 1.pdf.MME e ripristina la sua icona originale dopo la crittografia riuscita. A seguito di questa modifica, le vittime non saranno più in grado di accedere al file. Per risolvere questo problema e tornare all'uso regolare dei file, i criminali informatici si offrono di optare per la soluzione a pagamento: acquista uno speciale software di decrittazione che restituirà i tuoi dati. Le istruzioni da fare sono elencate in una nota di testo denominata Leggi_Me.txt che viene fornito con la crittografia. Puoi dare un'occhiata al suo contenuto dettagliato qui sotto:

ARMADIO BLU è un'infezione ad alto rischio classificata come ransomware. Il suo scopo principale è estorcere denaro alle vittime dopo aver crittografato con successo i dati personali. Assegna il nuovo .blu estensione ed emette una nota di testo chiamata ripristino_file.txt per guidare le vittime attraverso il processo di recupero. Questo significa un file come 1.pdf sarà modificato in 1.pdf.blue e ripristina la sua icona originale. Il testo all'interno della nota è simile ad altre infezioni ransomware. Si dice che tutti i file siano stati crittografati, i backup eliminati e copiati sul server dei criminali informatici. Per ripristinare il danno e tornare alla normale esperienza con file perfettamente funzionanti, le vittime dovrebbero acquistare un decryptor universale tenuto dagli sviluppatori di malware. Se decidi di ignorare le richieste dei criminali informatici, inizieranno a scaricare i tuoi file nelle risorse del dark web. Mentre si contattano gli sviluppatori sulla decrittazione, viene offerto di inviare 1 file in modo che possano sbloccarlo gratuitamente. La comunicazione tra vittime e criminali informatici è scritta per essere stabilita tramite metodi di posta elettronica (grepmord@protonmail.com). Dopo essere entrati in contatto con loro, le vittime recupereranno ulteriori istruzioni su come pagare e acquisire il software di decrittazione.

Originario dell'Italia, Giuliano è un programma di tipo ransomware configurato con algoritmi crittografici avanzati (AES-256) per eseguire la crittografia sicura dei dati. Dopo aver bloccato l'accesso ai file personali, gli estorsionisti cercano di ingannare le vittime facendole pagare per la decrittazione dei dati. Le vittime possono rilevare che i loro file sono stati crittografati semplicemente guardando l'estensione: il virus aggiunge la nuova estensione ".Giuliano" per evidenziare i dati bloccati. Questo significa un file come 1.pdf cambierà in 1.pdf.Giuliano e ripristina la sua icona originale. Le informazioni sul recupero dei file possono essere trovate all'interno di una nota di testo chiamata README.txt. Le istruzioni di decrittazione all'interno di questo file sono rappresentate in lingua italiana. I criminali informatici informano le vittime dell'infezione riuscita e le incoraggiano a seguire le istruzioni elencate. Dicono che dovresti visitare una pagina GitHub per compilare alcuni moduli. Dopo questo, è probabile che gli sviluppatori di malware si mettano in contatto con le loro vittime e chiedano di pagare un riscatto in denaro. Solitamente viene richiesto di eseguire il pagamento in BTC o altra criptovaluta utilizzata dagli sviluppatori. Purtroppo, le cifre applicate da Giuliano Ransomware sono forti e a malapena decifrabili con strumenti di terze parti. Per ora, il modo migliore per recuperare i tuoi file oltre a collaborare con i truffatori è utilizzare le copie di backup.

Essendo un pericoloso virus ransomware, Rook prende di mira la crittografia dei dati e cerca di ricattare gli utenti affinché paghino il riscatto. Il virus è facile da distinguere dalle altre versioni in quanto assegna il .torre estensione a tutti i dati bloccati. Questo significa un file come 1.pdf cambierà in 1.pdf.rook e ripristina la sua icona originale dopo la crittografia riuscita. Subito dopo, Rook Ransomware crea una nota di testo denominata HowToRestoreYourFiles.txt mostrando agli utenti come possono recuperare i dati. Il contenuto della nota di testo dice che puoi ripristinare l'accesso a tutti i dati solo contattando i truffatori e pagando il riscatto. La comunicazione deve essere stabilita tramite e-mail (rook@onionmail.org; securityRook@onionmail.org) o il collegamento al browser TOR allegato alla nota. Durante la scrittura di un messaggio ai criminali informatici, alle vittime viene offerto di inviare fino a 3 file (non più di 1 Mb) e di decifrarli gratuitamente. In questo modo i criminali informatici dimostrano in una certa misura le capacità di decrittazione e la loro affidabilità. Inoltre, se contatti gli estorsori entro i 3 giorni indicati, i criminali informatici forniranno uno sconto del 50% sul prezzo della decrittazione. A meno che tu non rientri in questa scadenza, gli sviluppatori di Rook inizieranno a far trapelare i tuoi file alla loro rete per abusarne in seguito sulle pagine darknet. Dicono anche che nessuno strumento di terze parti ti aiuterà a recuperare i file.

HarpoonLocker è il nome di una recente infezione ransomware segnalata dagli utenti sui forum di malware. Il virus esegue la crittografia dei dati con algoritmi AES-256 e RSA-1024, rendendo crittograficamente sicuri tutti i dati con restrizioni. A seguito di questa modifica alla configurazione, gli utenti non potranno più accedere ai propri dati archiviati sui dispositivi infetti. HarpoonLocker assegna il .locked estensione, comunemente utilizzata da molte altre infezioni ransomware. Questo lo rende più generico e talvolta difficile da differenziare da altre infezioni come questa. Crea anche una nota di testo (restore-files.txt) contenente le istruzioni per il riscatto. Gli sviluppatori affermano che tutti i dati sono stati crittografati e trapelati ai loro server. L'unico modo per ripristinare questo e recuperare i file in modo sicuro è concordare il pagamento del riscatto. Alle vittime viene chiesto di scaricare il messenger qTOX e contattare gli estorsori lì. C'è anche un'opzione per provare gratuitamente la decrittazione di 3 file bloccati. Questa è una garanzia data dai criminali informatici per dimostrare di potersi fidare. Sfortunatamente, non ci sono altri contatti oltre a qTOX che le vittime potrebbero usare per entrare in una discussione con i criminali informatici. Molti ricercatori informatici hanno scherzato sul fatto che HarpoonLocker dovrebbe essere chiamato anche Ransomware qTOX senza nome poiché non c'è nessuno con cui le vittime possano parlare. Per questo e molti altri motivi, si sconsiglia vivamente di soddisfare i requisiti elencati e di pagare il riscatto. Molto spesso i criminali informatici ingannano le loro vittime e non inviano strumenti di decrittazione anche dopo aver ricevuto il denaro.

Trovato e ricercato per la prima volta da un esperto indipendente di nome S!R!, NoCry è un programma ransomware progettato per eseguire la crittografia dei dati. È uno schema molto popolare utilizzato dagli sviluppatori di ransomware per estorcere denaro alle vittime in caso di restrizione dei dati riuscita. Per ora, sono note due versioni di NoCry che differiscono per le estensioni assegnate ai dati bloccati. è o .Cry or .IHA estensione che verrà aggiunta ai file crittografati. Ad esempio, 1.pdf cambierà il suo aspetto in 1.pdf.Cry or 1.pdf.IHA e reimposta la sua icona di collegamento su vuota dopo essere stato colpito da malware. Gli estorsori dietro NoCry Ransomware richiedono il pagamento per la restituzione dei dati tramite un file HTML chiamato How To Decrypt My Files.html. Inoltre, apre una finestra pop-up con cui le vittime possono interagire per inviare il riscatto e decrittografare i propri dati. I contenuti di entrambi sono identici e informano le vittime dello stesso. NoCry offre circa 72 ore per inviare 100$ in BTC all'indirizzo crittografico allegato. Se non verrà consegnato denaro entro la timeline assegnata, NoCry cancellerà i tuoi file per sempre. Questa è una strategia di intimidazione pensata per affrettare le vittime e pagare il riscatto richiesto più velocemente.