Ransomware

DeltaPlus è un virus di tipo ransomware che utilizza algoritmi crittografici per crittografare i dati personali. Assegna cifrature complesse che sono difficili da decodificare senza speciali strumenti di decrittazione in possesso degli stessi criminali informatici. Per acquistare questi strumenti, alle vittime viene richiesto di inviare l'equivalente di 6,000 USD in BTC a un indirizzo crittografico. Il prezzo per la decrittazione può anche essere ridotto a 3,000 USD se si riesce a completare il pagamento entro le prime 72 ore dall'infezione. Tutte queste informazioni sono divulgate all'interno della nota di testo chiamata Aiuta a ripristinare i tuoi file.txt, che viene creato non appena viene eseguita la crittografia dei file. Delta Plus aggiunge il .delta estensione a tutti i file interessati. Ad esempio, un file come 1.pdf cambierà in 1.pdf.delta e perde la sua icona originale. Dopo queste modifiche, gli utenti non potranno più accedere ai propri file finché non pagheranno il riscatto richiesto.

Scoperto da Tomas Meskauskas, Koxic è determinato per essere un'infezione ransomware che opera crittografando i dati memorizzati nel PC. In altre parole, la maggior parte dei file come foto, video, musica e documenti verrà bloccata dal virus per impedire agli utenti di accedervi. Anche tutti i file crittografati diventano nuovi .KOSSICO or .KOXIC_PLCAW estensioni. Ciò significa file crittografati come 1.pdf cambierà in 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Lo stesso modello verrà applicato ai dati residui crittografati dal ransomware. Dopo aver fatto le cose con la crittografia, il virus crea una nota di testo che spiega le istruzioni per il riscatto. Queste istruzioni indicano che le vittime devono contattare gli sviluppatori tramite koxic@cock.li or koxic@protonmail.com e-mail con il proprio ID personale. Questo ID può essere trovato allegato alla richiesta di riscatto. Se non è visibile, è possibile che una versione di Koxic Ransomware che si è infiltrata nel tuo sistema sia ancora in fase di sviluppo e di test.

Porno è classificato come un'infezione ransomware che prende di mira la crittografia dei dati personali. È molto probabile che file come foto, documenti, musica e video siano nell'ambito della crittografia di Porn Ransomware. Per differenziare i file crittografati da quelli normali, gli sviluppatori assegnano il .porno estensione a ciascun campione compromesso. Ad esempio, un file come 1.pdf cambierà in 1.pdf.porn e ripristina la sua icona originale. Dopodiché, il virus inizia a richiedere il cosiddetto riscatto per recuperare i tuoi dati. Queste informazioni possono essere visualizzate in una finestra pop-up in primo piano o in una nota di testo chiamata RECUPERARE__.porn.txt. All'interno di questa nota e finestra pop-up, i criminali informatici visualizzano il numero di file che hanno decrittografato. Per cancellare le cifre assegnate, gli sviluppatori di porno chiedono alle vittime di inviare 1 BTC all'indirizzo crittografico allegato e inviarle per e-mail con l'ID della transazione in seguito. Sfortunatamente, non molte vittime possono permettersi di pagare il prezzo di 1 BTC (42,000 USD).

Blackbyte è il nome di un data-locker che crittografa i file archiviati su un dispositivo. Tale malware è più noto come ransomware perché estorce denaro alle vittime per il recupero dei dati. Anche se BlackByte è nuovo e poco osservato, ci sono abbastanza dettagli per differenziarlo da altre infezioni. Uno di questi è il .blackbyte estensione che viene aggiunta a ciascun file crittografato. Ad esempio, un pezzo come 1.pdf cambierà la sua estensione in 1.pdf.blackbyte e ripristinare l'icona originale. Il passaggio successivo dopo la crittografia di tutti i dati disponibili è la creazione di una richiesta di riscatto. BlackByte genera il BlackByte_restoremyfiles.hta file, che mostra i dettagli di ripristino. All'interno, alle vittime viene chiesto di contattare i criminali informatici tramite e-mail. Questa azione è obbligatoria per ricevere ulteriori istruzioni su come acquistare un decryptor di file. Questo decryptor è unico e detenuto solo dai criminali informatici. Il prezzo del riscatto può variare da persona a persona raggiungendo centinaia di dollari. Tieni presente che pagare il riscatto è sempre un rischio di perdere i tuoi soldi per niente. Molti estorsionisti tendono a ingannare le loro vittime e a non inviare alcuno strumento di decrittazione anche dopo aver ricevuto il denaro richiesto. Sfortunatamente, non esistono decryptor di terze parti in grado di garantire la decrittazione del 100% dei file BlackByte.

Ranione è un gruppo di malware che sviluppa e diffonde infezioni ransomware. La sua versione recente si chiama R44s, che crittografa i dati utilizzando potenti algoritmi crittografici e quindi richiede denaro per il suo riscatto. Le vittime possono individuare che i loro file sono stati crittografati con mezzi visivi. Prime versioni di Ranion Ransomware scoperte a Novemver, 2017 utilizzate .riscatto estensione. Ora il virus assegna la pianura .r44s estensione a tutti i pezzi compromessi. Ecco un rapido esempio di come si occuperanno dei file dopo la corretta crittografia: 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44se così via a seconda del nome del file originale. Subito dopo la fine di questo processo di crittografia, R44s crea un file HTML denominato LEGGIMI_TO_DECRYPT_FILES.html.

Scoperto da un ricercatore di malware di nome S!Ri, Artemis appartiene alla famiglia di ransomware PewPew. Le frodi dietro questa famiglia hanno diffuso una serie di infezioni ad alto rischio che eseguono la crittografia dei dati. Artemis è la variante più recente del criptatore di file che taglia l'accesso alla maggior parte dei dati archiviati utilizzando algoritmi crittografici multistrato. Questi algoritmi rendono i dati completamente crittografati, il che impedisce agli utenti di aprirli. Oltre a ciò, i file crittografati bloccati da Artemis vengono modificati anche in modo visivo. Ad esempio, un file come 1.pdf cambierà in qualcosa del tipo 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis e ripristina la sua icona originale. Questa stringa è costituita dall'ID delle vittime, khalate@tutanota.com indirizzo e-mail, e .artemide estensione alla fine. Quindi, non appena la crittografia arriva al termine, Artemis richiede il info-decrypt.hta per apparire su tutto lo schermo. Le versioni recenti del malware utilizzano Leggimi-[ID_vittima].txt nome e uso della richiesta di riscatto .ultimo ed .999 estensioni (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate e 1.pdf.id[ID_vittima].[restoredisscus@gmail.com].999).

Buongiorno è un programma dannoso classificato come ransomware. Il suo obiettivo principale consiste nel guadagnare denaro sulle vittime i cui dati sono stati crittografati con cifrari efficaci. Di solito, le vittime vengono a conoscenza dell'infezione dopo che GoodMorning ha assegnato una nuova estensione complessa ai file compromessi (che termina con .Buongiorno, .BLOCCATO or .VERO). Per esempio, 1.pdf e altri file memorizzati su un sistema verranno modificati in questo modello 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. L'ID all'interno delle estensioni differirà individualmente in quanto è unico per ciascuna delle vittime. Quindi, una volta che tutti i file vengono crittografati e modificati visivamente, il virus crea note di testo chiamate o Buongiorno.txt, ReadIt.txt or ReadMe.txt. Ha lo scopo di spiegare istruzioni più ampie su come recuperare i dati.

pagare è un programma ransomware che infetta i sistemi Windows per crittografare i dati personali. Influisce sulla configurazione dei file memorizzati rendendoli totalmente inaccessibili. Ciò significa che qualsiasi tentativo di aprire i file verrà negato a causa della crittografia. Oltre alle modifiche alla configurazione, Pagar Ransomware altera i dati anche con mezzi visivi, assegnando il .pagar40br@gmail.com estensione a ciascun file in crittografia. Ad esempio, un file come 1.pdf cambierà in 1.pdf.pagar40br@gmail.com e reimposta la sua icona originale su vuota. Dopo che tutti i file sono stati crittografati, Pagar crea una richiesta di riscatto chiamata Avviso urgente.txt, che spiega come recuperare i dati. Gli sviluppatori di ransomware sono concisi e dicono che hai 72 ore per inviare 0.035 BTC al portafoglio allegato. Subito dopo aver completato il pagamento, le vittime devono contattare gli sviluppatori tramite pagar40br@gmail.com allegando l'indirizzo del proprio portafoglio e l'ID univoco (scritto nella nota). Sfortunatamente, non ci sono informazioni sull'affidabilità degli sviluppatori Pagar.