Ransomware

SUPERSUSO è un programma ransomware che utilizza algoritmi di crittografia avanzati per impedire agli utenti di accedere ai propri dati. Tale cambiamento ha lo scopo di stimolare le persone a pagare il cosiddetto riscatto per recuperare i file crittografati. Le vittime apprenderanno la crittografia dei file tramite le nuove estensioni loro assegnate. Gli sviluppatori SUPERSUSO utilizzano il .ICQ_SUPERSUSO estensione per rinominare tutti i dati bloccati. Ad esempio, un file come 1.pdf cambierà in 1.pdf.ICQ_SUPERSUSO e ripristina la sua icona originale. Lo stesso verrà applicato a tutti i dati bloccati nel tuo sistema. Dopo questo, SUPERSUSO emette un file di testo chiamato #Decrypt#.txt per spiegare le istruzioni di ripristino. All'inizio, alle vittime viene chiesto di installare il software ICQ per PC, Android o IOS e di scrivere all'indirizzo del destinatario dei criminali informatici, menzionato nella nota. ICQ è un messenger affidabile e legittimo utilizzato dai criminali informatici per stabilire comunicazioni anonime con le loro vittime. Se le vittime non riescono a contattare gli sviluppatori entro 72 ore, le informazioni compromesse verranno raccolte e divulgate ai mercati darknet.

Shasha è il nome di un virus ransomware che crittografa e modifica i dati con il .shasha estensione. La nuova estensione non è una parte essenziale della crittografia, ma piuttosto un aspetto visivo pensato per evidenziare i dati bloccati. Se vedi questa estensione assegnata alla maggior parte dei dati come questo 1.pdf.shasha, allora sei senza dubbio infetto da ransomware. Il passaggio successivo dello sviluppatore dopo aver bloccato l'accesso ai file è spiegare come ripristinarlo. Per questo, i criminali informatici responsabili del virus Shasha creano una nota di testo chiamata READ_ME.txt e cambia gli sfondi del desktop. All'interno di questa nota, gli estorsori affermano di essere le uniche figure in grado di decifrare i tuoi file. Per essere più precisi, sono quelli che detengono chiavi private e software di decrittazione in grado di sbloccare i dati. Le vittime sono pregati di acquistarlo per 50 $ in BTC. Il pagamento deve essere inviato tramite l'indirizzo Bitcoin allegato nella nota. Sfortunatamente, è abbastanza incerto come i criminali informatici ti invieranno il software di decrittazione acquistato.

Riscatto comune è classificato come un virus ransomware che crittografa i dati archiviati su dispositivi infetti per richiedere il pagamento per la restituzione. Questa versione è stata scoperta da un ricercatore di malware di nome Michael Gilepsie. Proprio come molte infezioni ransomware, CommonRansom assegna la propria estensione per evidenziare i dati bloccati. Tutti i dati che sono stati crittografati da CommonRansom cambieranno come questo file qui - 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. Dopo questo, un'altra cosa rimasta da avviare dal virus è la creazione di una richiesta di riscatto. Il nome della nota è DECRYPTING.txt e viene messo in ogni cartella con i file infetti. Questa nota dice che le vittime hanno 12 ore di anticipo per richiedere la decrittazione dei dati, altrimenti non ci sarà più alcuna possibilità di restituirli. Esiste anche un modello che dovrebbe essere utilizzato quando si contattano i criminali informatici tramite il loro indirizzo e-mail. Il modello allegato è in realtà molto sospetto poiché richiede alle vittime di scrivere la loro porta RDP del PC, un nome utente insieme alla password utilizzata per accedere al sistema e l'ora in cui hai pagato 0.1 BTC all'indirizzo crittografico delineato.

Gijeb è un virus ransomware che esegue la crittografia dei dati per estorcere denaro alle vittime. Sembra molto simile a Keq4p Ransomware, il che significa che è probabile che provengano dalla stessa famiglia di malware. Proprio come Keq4p, Gyjeb Ransomware assegna una stringa casuale di simboli senza senso insieme ai propri .gijeb estensione. Per illustrare, un file come "1.pdf" cambierà il suo aspetto in qualcosa del genere 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb e ripristina la sua icona originale. Dopo che tutti i file sono stati modificati in questo modo, il virus crea una nota di testo chiamata nTLA_HOW_TO_DECRYPT.txt che comporta istruzioni di decrittazione. Puoi familiarizzare con questa nota nello screenshot qui sotto.

Keq4p è un'infezione ransomware che crittografa i dati personali utilizzando algoritmi crittografici. Questi algoritmi garantiscono una forte protezione dei dati dai tentativi di decrittografarli. I file attaccati dal ransomware sono in genere foto, video, musica, documenti e altri tipi di dati che potrebbero comportare un certo valore. La maggior parte dei criptatori di file modifica tutti i file interessati assegnando la propria estensione. Keq4p fa esattamente lo stesso, ma associa anche una stringa casuale di simboli. Ad esempio, un file come 1.pdf cambierà in qualcosa del tipo 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p o simili. La stringa assegnata è totalmente casuale e non ha uno scopo reale. Insieme alle modifiche visive, Keq4p chiude il suo processo di crittografia con la creazione di zB6F_HOW_TO_DECRYPT.txt, un file di testo contenente le istruzioni per il riscatto. Puoi dare un'occhiata più da vicino a cosa contiene nello screenshot seguente.

Hydra è un'infezione ransomware che rende inaccessibili i dati degli utenti eseguendo una crittografia completa. Oltre a non essere in grado di accedere ai dati, gli utenti potrebbero anche notare alcuni cambiamenti visivi. Hydra assegna una nuova stringa di simboli contenente gli indirizzi e-mail dei criminali informatici, l'ID generato casualmente assegnato a ciascuna vittima e il .IDRA estensione alla fine. Per illustrare, un file come 1.pdf cambierà il suo aspetto in [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA e reimposta l'icona originale su vuota. Non appena tutti i file vengono crittografati, il virus promuove istruzioni di riscatto per guidare le vittime attraverso il processo di recupero. Questo può essere trovato all'interno di #FILESENCRYPTED.txt nota di testo, che viene creata dopo la crittografia. Gli sviluppatori di Hydra affermano che le vittime possono ripristinare i propri file scrivendo all'indirizzo e-mail allegato (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). Successivamente, i criminali informatici dovrebbero fornire ulteriori istruzioni per acquistare la decrittazione dei file.

DeltaPlus è un virus di tipo ransomware che utilizza algoritmi crittografici per crittografare i dati personali. Assegna cifrature complesse che sono difficili da decodificare senza speciali strumenti di decrittazione in possesso degli stessi criminali informatici. Per acquistare questi strumenti, alle vittime viene richiesto di inviare l'equivalente di 6,000 USD in BTC a un indirizzo crittografico. Il prezzo per la decrittazione può anche essere ridotto a 3,000 USD se si riesce a completare il pagamento entro le prime 72 ore dall'infezione. Tutte queste informazioni sono divulgate all'interno della nota di testo chiamata Aiuta a ripristinare i tuoi file.txt, che viene creato non appena viene eseguita la crittografia dei file. Delta Plus aggiunge il .delta estensione a tutti i file interessati. Ad esempio, un file come 1.pdf cambierà in 1.pdf.delta e perde la sua icona originale. Dopo queste modifiche, gli utenti non potranno più accedere ai propri file finché non pagheranno il riscatto richiesto.

Scoperto da Tomas Meskauskas, Koxic è determinato per essere un'infezione ransomware che opera crittografando i dati memorizzati nel PC. In altre parole, la maggior parte dei file come foto, video, musica e documenti verrà bloccata dal virus per impedire agli utenti di accedervi. Anche tutti i file crittografati diventano nuovi .KOSSICO or .KOXIC_PLCAW estensioni. Ciò significa file crittografati come 1.pdf cambierà in 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Lo stesso modello verrà applicato ai dati residui crittografati dal ransomware. Dopo aver fatto le cose con la crittografia, il virus crea una nota di testo che spiega le istruzioni per il riscatto. Queste istruzioni indicano che le vittime devono contattare gli sviluppatori tramite koxic@cock.li or koxic@protonmail.com e-mail con il proprio ID personale. Questo ID può essere trovato allegato alla richiesta di riscatto. Se non è visibile, è possibile che una versione di Koxic Ransomware che si è infiltrata nel tuo sistema sia ancora in fase di sviluppo e di test.