Ransomware

Una nuova infezione ransomware nota come DECovid19 è arrivato sul Web e ha causato molti attacchi a PC non protetti. Il virus è stato segnalato l'11 gennaio da vittime disperate con dati crittografati. Sulla base delle informazioni correnti, è chiaro che DEcovid19 blocca l'accesso ai dati modificando le estensioni dei file in .COVID-19 or .locked. Un esempio dell'originale 1.mp4 influenzato dal ransomware può apparire in due modi: o come 1.mp4.locked or 1.mp4.covid19. Al termine del processo di crittografia, il programma dannoso crea una nota di testo (! DECRYPT_FILES.txt or ATTENZIONE !!!. Txt) inteso a spiegare le istruzioni di decrittazione. All'interno, gli utenti possono visualizzare rapidamente le informazioni sui virus. La parte successiva del testo è dedicata al ripristino dei dati. Si dice che gli utenti contattino il bot di Telegram allegando l'ID personale nella riga dell'oggetto e scrivendo quanti PC devono essere decrittografati. È inoltre necessario inviare 1-2 file crittografati che non contengono informazioni importanti (meno di 2 MB) in modo che i criminali informatici possano abbinare il giusto decoder per i tuoi dati. L'ultimo, ma non meno importante, detto dai truffatori sono i limiti di tempo: hai 72 ore per prendere una decisione e pagare la chiave di decrittazione.

Fair Ransomware è uno dei tanti pezzi pericolosi che crittografa i dati personali. Appartiene alla famiglia di malware nota come Makop, che ha sviluppato una serie di infezioni simili. Una volta che Fair Ransomware attacca il tuo sistema, installa alcuni script, che bloccano l'accesso a più file assegnando estensioni univoche. Queste estensioni sono costituite da un numero ID personale, suffisso [fairexchange@qq.com] e .fair alla fine di ogni file. Un esempio del campione originale che ha subito questi cambiamenti è simile a questo 1.mp4.[9B83AE23].[fairexchange@qq.com].fair. Sebbene l'accesso ai dati non sia più nelle mani degli utenti, gli estorsori creano un file di testo chiamato readme-warning.txt in ogni cartella contenente file crittografati. All'interno di questa nota, i criminali informatici spiegano brevemente alle persone confuse cosa è successo ai loro PC. Quindi, i creatori di Fair Ransomware dicono che è necessario acquistare il software di decrittazione (in BTC) per riprendere il controllo sui dati. Offrono anche di prendere parte al cosiddetto "controllo di garanzia", ​​che consente agli utenti di decrittare gratuitamente 2 file di dimensioni limitate. Sfortunatamente, anche se questi trucchi dovrebbero giustificare l'integrità dei truffatori, le statistiche dicono il contrario.

Conosciuto anche come WickrMe, Hello Ransomware è un virus pericoloso che crittografa i dati personali (foto, video, documenti, ecc.). Come altre infezioni di questo tipo, richiede anche il pagamento di una tariffa dopo la crittografia. Tuttavia, prima ancora Hello Ransomware modifica i tuoi file con il nuovo .hello estensione. Non sono inclusi simboli aggiuntivi, quindi i tuoi file avranno questo aspetto 1.mp4.hello e allo stesso modo. Quindi, una volta terminate tali modifiche, il virus crea una nota di testo (Readme!!!.txt) contenente istruzioni per il riscatto. All'interno di questo documento, agli utenti viene chiesto di contattare i criminali informatici tramite e-mail allegate o Wickr Me (un messenger privato). Pertanto, riceveranno un elenco di passaggi per eseguire il pagamento e recuperare i dati compromessi. Sfortunatamente, sebbene gli sviluppatori di ransomware siano solitamente le uniche figure in grado di decrittografare i tuoi dati, sconsigliamo di implementare il pagamento richiesto. Altrimenti, potrebbe sembrare uno spreco di denaro poiché non vi è alcuna garanzia di ottenere la decrittazione promessa. Statisticamente, gli estorsori ignorano gli utenti anche dopo aver completato tutti i passaggi. Pertanto, è necessario eliminare Hello Ransomware dal computer per impedire un'ulteriore decrittografia dei dati.

Dharma è una famiglia di ransomware considerata il più grande sviluppatore di infezioni da ransomware. Sono state trovate molte versioni che attaccano gli utenti con crittografia dei dati e messaggi di richiesta di riscatto. Tuttavia, una delle versioni recenti individuate in attività è nota come yoAD ransomware. Allo stesso modo virus simili di questo tipo, assegna il nuovo .yoAD estensione con ID casuale ed e-mail dei cybercriminali a ciascun dato archiviato su un PC compromesso. Ad esempio, il file originale come 1.mp4 otterrà uno sguardo di 1.mp4.id-C279F237.[yourfiles1@cock.li].yoADo in modo simile. Tali modifiche rendono i tuoi file non più accessibili poiché qualsiasi tentativo di avviarli verrà negato. Quindi, una volta che questo processo si conclude, il virus interviene con la creazione di istruzioni di testo. Sono presentati in FILE ENCRYPTED.txt documento direttamente sul desktop. Come sostengono gli estorsori, l'unico modo per ripristinare i tuoi dati è contattarli via e-mail. Quindi, presumibilmente ti daranno un cripto-portafoglio per inviare denaro in Bitcoin. Successivamente, ti verranno forniti gli strumenti necessari per ripristinare i tuoi dati. Sfortunatamente, questo metodo non è adatto a tutti perché gli importi richiesti dai criminali informatici possono essere astronomicamente alti e non facili da pagare.

Cripto-Locker Mijnal è un'infezione di tipo ransomware che codifica i dati personali con algoritmi AES + RSA. L'applicazione di tale significa che la cifra assegnata è difficile da rompere utilizzando i metodi tradizionali. In altre parole, assicura che la decrittografia manuale non avvenga dopo che i dati sono stati bloccati. Sfortunatamente, nella maggior parte dei casi, sembra davvero impossibile, ma dovresti provarlo dopo aver letto questo testo. Come altre infezioni, Mijnal crittografa i tuoi dati modificando l'estensione del file in .mijnal. Ad esempio, un campione come "1.mp4" verrà modificato in "1.mp4.mijnal" e ripristinerà la sua icona originale. Al termine del processo di crittografia, il virus crea una nota di testo chiamata "README_LOCK.txt" che contiene le istruzioni di riscatto. Le informazioni presentate all'interno sono scritte in russo, il che significa che gli sviluppatori si concentrano principalmente sulle regioni della CSI. Tuttavia, ci sono anche alcuni utenti inglesi che potrebbero esserne interessati. Se sei disposto a decrittografare i tuoi dati il ​​prima possibile, i criminali informatici chiedono alle vittime di aprire il collegamento allegato tramite il browser Tor e seguire le istruzioni direttamente lì. Quindi, è più probabile che gli estorsori ti chiedano di pagare un certo importo in Bitcoin per ottenere l'accesso ai tuoi dati. Nonostante il pagamento del riscatto sia solitamente l'unico metodo per superare la crittografia dei dati, sconsigliamo di soddisfare qualsiasi richiesta in quanto può essere pericoloso anche per le tue tasche e la privacy.

Leitkcad è un puro esempio di cripto-malware che esegue la crittografia sui dati personali per ottenere un cosiddetto riscatto. I sintomi più vividi che suggeriscono la presenza del Leitkcad è l'assegnazione di .leitkcad estensione. In altre parole, verrà visualizzato alla fine di ogni file infetto da malware. Ad esempio, un file come 1.mp4 sarà cambiato in 1.mp4.leitkcad e ripristina la sua icona originale. Quindi, una volta modificati tutti i file, il virus passa alla fase successiva creando una nota chiamata help-leitkcad.txt. Contiene informazioni sulla crittografia e istruzioni per ripristinare i dati. I criminali informatici dicono che dovresti contattare un operatore e inserire il tuo ID, la chiave personale e la posta elettronica tramite la pagina della chat. Il collegamento ad esso può essere aperto solo utilizzando il browser Tor, che deve essere scaricato dalle vittime. Quindi, dopo aver stabilito un contatto con i criminali informatici, riceverai ulteriori istruzioni su come acquistare il software di decrittazione. Inoltre, vale la pena notare che il riavvio e la modifica dei file crittografati possono portare a una perdita permanente. Gli estorsori impostano determinati algoritmi che li aiutano a rilevare la tua attività. Ciò significa che se rifiuti di rispettare uno qualsiasi degli avvertimenti di cui sopra, i tuoi file verranno eliminati momentaneamente.

Un nuovo cryptovirus noto come LuciferoCripta è entrato in gioco un paio di giorni fa per crittografare i dati personali. Finché lo studio va avanti, è già evidente che questo ransomware limita l'accesso ai dati assegnando un'estensione a stringa lunga (.id=[].email=[].LuciferCrypt). Una rapida illustrazione di un campione infetto sarebbe simile a questa 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Al termine del processo di crittografia, il virus continua la sua presenza creando un file di testo chiamato HowToRecoverFiles.txt. All'interno di questo documento, gli estorsori notificano alle vittime la corretta crittografia. Per ripristinarlo, le vittime dovrebbero contattare i criminali informatici via e-mail e pagare una tariffa per recuperare i file. Una volta terminato, i tuoi dati verranno decrittografati automaticamente, senza comportare alcuna manipolazione. Si dice anche che il prezzo dipende direttamente dalla velocità con cui rispondi ai truffatori. Prima di farlo, puoi anche usufruire della decrittazione gratuita. Gli sviluppatori offrono di inviare fino a 3 file (meno di 4 MB e non archiviati), che non dovrebbero contenere informazioni preziose.

Dopo shavasana, sedersi in silenzio; saluti; Pompa ransomware attacca il tuo sistema, tutti i dati vengono incatenati da potenti algoritmi che ne limitano l'accesso. Il malware aggiunge .pompa estensione ai file che codifica. Ad esempio, un file come 1.mp4 acquisirà un nuovo aspetto di 1.mp4.pump e ripristina la sua icona originale. L'estensione applicata alla fine significa che i tuoi file sono crittografati. Tali modifiche sono solitamente accompagnate dalla creazione di istruzioni di riscatto. Nel nostro caso, il virus rilascia un file di testo chiamato README.txt che ti aiuterà a recuperare i file. Il contenuto presentato all'interno è breve, i criminali informatici hanno allegato il loro indirizzo e-mail solo per chiamare le vittime a contattarle. Quindi, presumibilmente forniranno ulteriori istruzioni su come acquistare il software di decrittazione. Non importa quanto lontano si spinga il prezzo, soddisfare le richieste dei truffatori è rischioso: possono diventare sciocchi nelle loro promesse e non lasciarti strumenti anche dopo aver effettuato un pagamento.