Ransomware

pagare è un programma ransomware che infetta i sistemi Windows per crittografare i dati personali. Influisce sulla configurazione dei file memorizzati rendendoli totalmente inaccessibili. Ciò significa che qualsiasi tentativo di aprire i file verrà negato a causa della crittografia. Oltre alle modifiche alla configurazione, Pagar Ransomware altera i dati anche con mezzi visivi, assegnando il .pagar40br@gmail.com estensione a ciascun file in crittografia. Ad esempio, un file come 1.pdf cambierà in 1.pdf.pagar40br@gmail.com e reimposta la sua icona originale su vuota. Dopo che tutti i file sono stati crittografati, Pagar crea una richiesta di riscatto chiamata Avviso urgente.txt, che spiega come recuperare i dati. Gli sviluppatori di ransomware sono concisi e dicono che hai 72 ore per inviare 0.035 BTC al portafoglio allegato. Subito dopo aver completato il pagamento, le vittime devono contattare gli sviluppatori tramite pagar40br@gmail.com allegando l'indirizzo del proprio portafoglio e l'ID univoco (scritto nella nota). Sfortunatamente, non ci sono informazioni sull'affidabilità degli sviluppatori Pagar.

Chaos è una popolare famiglia di ransomware che diffonde una serie di versioni di malware. Dopo la sua infezione, la maggior parte dei file archiviati su un sistema vengono riadattati diventando non più accessibili. Questo viene fatto dai criminali informatici per estorcere il cosiddetto riscatto alle vittime in cambio dello sblocco dei dati. Al momento, ci sono 4 versioni più popolari propagate da Chaos: Axiom, Teddy, Encrypted e AstraLocker Ransomware. Tutti e 4 assegnano la propria estensione bloccando l'accesso ai dati. Ad esempio, un file come 1.pdf potrebbe cambiare in 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encrypted, o 1.pdf.astralocker a seconda di quale versione ha attaccato la tua rete. Inizialmente, Chaos si chiamava Ryuk .Net Ransomware, ma poi è stato aggiornato e ha iniziato a diffondersi con il nuovo nome. Inoltre, Ryuk.Net imitava solo la crittografia con algoritmi AES+RSA, ma in realtà utilizzava la codifica Base64 per danneggiare la struttura dei file. Non è escluso che lo stesso possa essere affrontato anche nelle versioni più recenti. È anche possibile vedere una versione di Chaos che aggiunge una stringa di caratteri casuali a file crittografati - come 1.pdf.us00, 1.pdf.wf1d, e così via. Non appena la crittografia (o la crittografia falsa) termina, il virus crea una nota di testo con le istruzioni su come recuperare i dati. Ecco i nomi e il contenuto di ogni nota di testo creata da diverse versioni (README.txt, read_it.txt, LEGGI_ME_NOW.txt.

TOHNICHI sta per un programma ransomware che modifica le estensioni dei file rendendoli tutti crittografati. .tohnichi è il nome della nuova estensione assegnata ad ogni pezzo compromesso. Ciò significa che tutti i file crittografati appariranno in questo modo 1.pdf.tohnichi alla fine del processo. L'ultimo pezzo del puzzle portato da Tohnichi è Come decifrare files.txt, il file di testo creato dal malware per spiegare le istruzioni di decrittazione. Prima di tutto, si afferma che la tua rete è stata violata, il che ha permesso agli estorsionisti di crittografare i tuoi dati. Quindi, i criminali informatici affermano di essere le uniche figure in grado di eseguire la decrittazione sicura e completa dei dati. Per questo, alle vittime viene chiesto di stabilire una comunicazione utilizzando il collegamento al browser Tor e pagare per il software di decrittazione. Il prezzo è tenuto segreto e dipende dalla velocità con cui contatti gli sviluppatori. Dopo aver completato il pagamento, gli sviluppatori promettono di inviare uno strumento di decrittazione univoco per recuperare i dati. In aggiunta a ciò, gli sviluppatori di ransomware affermano di poter decrittografare diversi file (che non contengono informazioni preziose) prima di pagare il riscatto gratuitamente. Questa è davvero una buona offerta, ma ancora insufficiente per fidarsi dei criminali informatici su base individuale.

Zeppelin è stato scoperto da GrujaRS, che è un elemento dannoso che infetta i computer e crittografa i dati dell'utente. Programmi di questo tipo sono in genere progettati per fare soldi con utenti disperati che hanno bloccato i loro file. Come al solito, con la crittografia, arriva un cambiamento significativo nell'estensione del file: li rinomina utilizzando il sistema numerico esadecimale in qualcosa di simile 1.mp4.126-A9A-0E9. In effetti, l'estensione può variare in base ai simboli poiché il virus può generare valori casuali. Una volta completata la crittografia, Zepellin crea un file di testo chiamato !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT sul desktop. In questa nota, gli estorsori ti offendono con l'abuso del riscatto chiamandoti per contattarli e acquistare una chiave specifica. Sfortunatamente, a questo punto non esiste un metodo provato che possa decrittografare i tuoi dati gratuitamente. L'unico modo per farlo è seguire le loro istruzioni, il che è un enorme rischio. Sebbene la decisione ricada sulle tue spalle, ti consigliamo di eliminare Zeppelin Ransomware nella guida di seguito.

MOSNA è classificato come un'infezione ransomware che richiede denaro alle vittime dopo aver crittografato i dati. Normalmente, tali infezioni colpiscono tutti i file potenzialmente importanti come foto, video, documenti, database e altro che hanno un certo valore per le vittime. La crittografia può essere individuata da nuove estensioni assegnate a ciascun pezzo compromesso. Ad esempio, un file denominato 1.pdf cambierà in 1.pdf.MOSN alla fine della crittografia. Lo stesso si vedrà con altri dati secondo questo schema. Quindi, subito dopo, MOSN installa nuovi sfondi estesi su tutto lo schermo che visualizza un breve riepilogo del riscatto. Dichiara che le vittime dovrebbero contattare gli sviluppatori tramite walter1964@mail2tor.com indirizzo e-mail e paga 300$ in Bitcoin per il riscatto dei dati. Inoltre, MOSN Ransomware crea un file di testo chiamato INFORMAZIONE_READ_ME.txt questo spiega lo stesso ma menziona anche il numero di file crittografati e l'ID univoco che dovrebbero essere allegati mentre si contattano gli estorsori.

Divinità, Matafaka e Army sono tre infezioni ransomware rilasciate dal gruppo di sviluppo noto come Xorist. Dopo che il tuo sistema è stato infettato con successo, un virus costringe la maggior parte dei file archiviati a cambiare nome. A seconda della versione che ha attaccato il tuo PC, qualsiasi immagine, video, musica o file di documento come 1.pdf cambierà in 1.pdf.divinity, 1.pdf.matafaka, o 1.pdf.army. Dopo che ogni file viene modificato visivamente, le versioni sopra menzionate visualizzano un messaggio di testo in finestre pop-up o file di blocco note (HOW TO DECRYPT FILES.txt). Il testo è diverso per ogni versione. Per illustrare, Matafaka e Army mostrano a malapena informazioni sulla decrittazione dei dati. Dicono che il tuo PC è stato violato, ma non forniscono informazioni o istruzioni di pagamento per ripristinare i dati. Il motivo potrebbe essere che queste versioni sono ancora in fase di sviluppo e test. Non è escluso che ci siano versioni complete con istruzioni a tutti gli effetti che già circolano in giro per il web. Divinity è l'unica versione fuori dall'elenco con i dettagli di contatto per pagare il riscatto. Per questo, agli utenti viene chiesto di scrivere un messaggio diretto a @lulzed Telegram o @dissimilate su Twitter. Si noti che la famiglia Xorist Ransomware utilizza algoritmi XOR e TEA per crittografare i dati personali. I dati crittografati da tali cifre hanno meno probabilità di essere decifrati senza il coinvolgimento di criminali informatici. Nonostante ciò, si sconsiglia espressamente di soddisfare le richieste di cifre fraudolente.

Herrco è classificato come un programma ransomware dannoso. I malware di questo tipo cercano dati importanti memorizzati su un PC e ne bloccano l'accesso utilizzando algoritmi crittografici. L'obiettivo principale degli sviluppatori Herrco è incentrato sugli imprenditori che guadagnano presumibilmente abbastanza soldi per pagare la decrittazione dei file. Gli estorsori dietro Herrco Ransomware impostano il loro software per modificare tutti i dati rilevanti con il .herco estensione. Ad esempio, un file denominato 1.pdf cambierà il suo aspetto in 1.pdf.herrco alla fine della crittografia. Tale cambiamento è quindi seguito dalla creazione di Come decifrare files.txt. Questo è un file di testo pensato per spiegare in dettaglio la decrittazione. Si dice che l'unico modo per recuperare i propri dati sulla rete infetta sia contattare gli sviluppatori e pagare il cosiddetto riscatto. Il prezzo è tenuto segreto e dipende dalla velocità con cui raggiungi i criminali informatici. Per avviare la conversazione con i criminali informatici, alle vittime viene chiesto di aprire il collegamento Tor e di inserire il proprio ID personale, indicato nella parte superiore della richiesta di riscatto. Prima di farlo, si propone anche di inviare un paio di file che non contengono informazioni preziose per la decrittazione gratuita.

Keversen è un virus di tipo ransomware che prende di mira la crittografia avanzata dei dati. Questo ha lo scopo di spingere le vittime a pagare il cosiddetto riscatto per decifrare i file bloccati. Tutte le istruzioni sul processo di ripristino vengono rivelate dopo che i file sono stati crittografati. Il virus Keversen rinomina una vasta gamma di dati personali (foto, video, documenti, database, ecc.) con il .keversen estensione. Per illustrare, un file come 1.pdf cambierà in 1.pdf.keversen subito dopo la crittografia. Tutto questo accade in un batter d'occhio, quindi non c'è modo di impedirlo a meno che tu non abbia installato uno speciale programma anti-ransomware. Quindi, subito dopo che questa fase dell'infezione si è conclusa, Keversen Ransomware passa alla creazione del !=PRONTO=!.txt nota, che sparge alcune parole su come recuperare i tuoi dati.