Ransomware

Un nuovo cryptovirus noto come LuciferoCripta è entrato in gioco un paio di giorni fa per crittografare i dati personali. Finché lo studio va avanti, è già evidente che questo ransomware limita l'accesso ai dati assegnando un'estensione a stringa lunga (.id=[].email=[].LuciferCrypt). Una rapida illustrazione di un campione infetto sarebbe simile a questa 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Al termine del processo di crittografia, il virus continua la sua presenza creando un file di testo chiamato HowToRecoverFiles.txt. All'interno di questo documento, gli estorsori notificano alle vittime la corretta crittografia. Per ripristinarlo, le vittime dovrebbero contattare i criminali informatici via e-mail e pagare una tariffa per recuperare i file. Una volta terminato, i tuoi dati verranno decrittografati automaticamente, senza comportare alcuna manipolazione. Si dice anche che il prezzo dipende direttamente dalla velocità con cui rispondi ai truffatori. Prima di farlo, puoi anche usufruire della decrittazione gratuita. Gli sviluppatori offrono di inviare fino a 3 file (meno di 4 MB e non archiviati), che non dovrebbero contenere informazioni preziose.

Dopo shavasana, sedersi in silenzio; saluti; Pompa ransomware attacca il tuo sistema, tutti i dati vengono incatenati da potenti algoritmi che ne limitano l'accesso. Il malware aggiunge .pompa estensione ai file che codifica. Ad esempio, un file come 1.mp4 acquisirà un nuovo aspetto di 1.mp4.pump e ripristina la sua icona originale. L'estensione applicata alla fine significa che i tuoi file sono crittografati. Tali modifiche sono solitamente accompagnate dalla creazione di istruzioni di riscatto. Nel nostro caso, il virus rilascia un file di testo chiamato README.txt che ti aiuterà a recuperare i file. Il contenuto presentato all'interno è breve, i criminali informatici hanno allegato il loro indirizzo e-mail solo per chiamare le vittime a contattarle. Quindi, presumibilmente forniranno ulteriori istruzioni su come acquistare il software di decrittazione. Non importa quanto lontano si spinga il prezzo, soddisfare le richieste dei truffatori è rischioso: possono diventare sciocchi nelle loro promesse e non lasciarti strumenti anche dopo aver effettuato un pagamento.

MARS ransomware è un programma dannoso scoperto da Michael Gillespie. Il modo in cui crittografa i file è molto simile ad altre infezioni di questo tipo, aggiungendo il nuovo .Marte or .vyb estensione per evidenziare i dati interessati. Le vittime vedranno i loro file trasformarsi in qualcosa di simile 1.mp4.mars or 1.mp4.vyb. Come risultato di queste azioni, i file non possono essere aperti o manipolati dagli utenti in alcun modo. Per risolvere il problema e recuperare i dati, i criminali informatici si offrono di leggere le istruzioni in una nota di testo (!!! MARS_DECRYPT.TXT) creato dopo la crittografia. Ti informa che vari tipi di dati memorizzati sul tuo PC sono stati crittografati con il virus. Per ripristinarlo, le persone devono pagare 500 $ in BTC per la chiave di decrittazione. Prima di farlo, gli estorsori insistono fortemente nell'inviare fino a 3 file per la decrittazione gratuita per assicurarsi della loro affidabilità. Successivamente, il team dei cybercriminali risponderà con il link di pagamento per l'acquisto del software. Puoi anche contattare gli sviluppatori tramite Telegram e acquistare subito la chiave senza testare la decrittazione gratuita. Sebbene tali funzionalità fornite dai truffatori possano instillare fiducia nelle loro intenzioni, si sconsiglia di accettare ciò che dicono, perché non vi è alcuna garanzia effettiva che restituiranno i dati al sicuro e non danneggiati.

Ingegneria dei file è un esempio di infezione da ransomware che configura i file delle vittime per limitarne l'accesso. La maggior parte delle volte, gli utenti non individuano il malware che entra nei sistemi. C'era una volta, finiscono per vedere i loro dati modificati e bloccati dall'accesso regolare. FileEngineering lo fa in questo modo: assegnando l'ID della vittima, l'indirizzo e-mail del criminale informatico e .crittografato estensione in corrispondenza dei file. Esistono due versioni di FileEngineering diffuse sul Web. L'unica differenza sta nell'usare indirizzi e-mail diversi per contattare i truffatori. Ad esempio, potresti vedere i tuoi dati apparire come 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted a seconda della versione interessata dal tuo PC. Quindi, il passaggio successivo dell'attività di FileEngineering è la creazione di una nota chiamata Recupera i tuoi file! .Txt che contiene informazioni sulla decrittazione. Al suo interno, le informazioni vengono indirizzate da un cosiddetto ingegnere della sicurezza. Dice che dovresti contattarlo via e-mail e pagare una certa quantità di Bitcoin. Quindi, restituirà i tuoi file decrittografati e darà alcuni suggerimenti per migliorare la tua sicurezza. Prima di ciò, puoi anche inviare un piccolo file per dimostrare che può sbloccare i tuoi dati. Affidarsi ai criminali informatici è sempre un rischio enorme, quindi sta a te decidere se lo desideri o meno. Se i file non sono di grande valore per te, puoi semplicemente eliminare FileEngineering e continuare a utilizzare il tuo PC.

Dom. or Cripta del Sole è classificato come sistema che attacca i cryptovirus per crittografare i dati personali. Ha iniziato il suo viaggio nell'ottobre 2019 e continua la sua presenza infettando gli utenti fino a questi giorni. Il momento in cui SunCrypt può essere individuato nel tuo PC è quando cambia i tuoi file aggiungendo l'estensione .sun estensione. Si è anche sentito parlare di un'altra versione di SunCrypt che applica una stringa di simboli casuali invece di estensioni. Una modifica a qualcosa di simile 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 significa che non sei più autorizzato ad accedere ai tuoi dati. Per recuperarlo, SunCrypt crea una nota di testo (DECRYPT_INFORMATION.html or YOUR_FILES_ARE_ENCRYPTED.HTML) che contengono istruzioni per il riscatto. Sebbene SunCrypt sia principalmente orientato agli utenti di lingua inglese, hai la possibilità di passare dal tedesco, al francese e allo spagnolo. Ciò aumenta di gran lunga il traffico delle vittime consentendo agli sviluppatori di estendere la propria attività. Come indicato nella nota, le vittime devono installare il browser Tor e fare clic su "Vai al nostro sito Web" per acquistare il software di decrittazione. La tariffa richiesta può variare in base al singolo caso, tuttavia, non importa quanto sia bassa o alta, si consiglia di non correre questo rischio.

Dharma-259 è un'infezione di tipo ransomware appartenente alla famiglia Dharma. Questo gruppo di sviluppatori ha apportato il maggiore impatto al settore del malware. Avendo una gamma di programmi dannosi, 259 completa l'elenco e crittografa i dati personali con algoritmi potenti che impediscono agli utenti un accesso regolare. Di conseguenza, tutti i dati cambiano il nome con una stringa di cifre incluso l'ID personale, l'e-mail del criminale informatico e .259 estensione alla fine di ogni file. Ad esempio, ordinario 1.mp4 sperimenterà un cambiamento in qualcosa di simile 1.mp4.id-C279F237.[259461356@qq.com].259 e ripristina la sua icona predefinita. Quindi, una volta terminato il processo di crittografia, il virus apre forzatamente una finestra pop-up e crea una nota di testo chiamata FILE ENCRYPTED.txt, entrambi contengono informazioni sul ripristino dei dati. Come indicato sia nel pop-up che nella nota, le vittime devono contattare i truffatori tramite e-mail allegando l'ID personale. Inoltre, puoi inviare fino a 1 file (meno di 1 MB) per la decrittazione gratuita. Quindi, una volta che gli estorsori riceveranno il tuo messaggio, sarai guidato con i passaggi su come acquistare il software di decrittazione. A volte, la tariffa richiesta può salire alle stelle oltre i limiti, diventando inaccessibile per la maggior parte degli utenti. Anche se sei pronto ad arricchire i criminali informatici che acquistano il loro software, ti consigliamo di non farlo, perché la maggior parte degli utenti segnala un alto rischio di essere ingannati e non ottiene alcuno strumento per ripristinare i dati.

Sviluppato da un gruppo di estorsori turchi, Sifre Cikis è un'infezione ransomware che crittografa i dati personali e richiede una tariffa per il ripristino. Crea un forte cifrario sui dati sensibili utilizzando algoritmi AES e RSA. Di conseguenza, la decrittografia dei file diventa difficile da eseguire, anche con strumenti di terze parti. Tutti i dati crittografati da SifreCikis ottengono una nuova estensione basata su questi schemi: . {sequenza-alfanumerica-casuale}. Ad esempio, un file come 1.txt cambierà in qualcosa di simile 1.txt.E02F4934FC5A. Quindi, al termine della crittografia, gli utenti incontrano una nota chiamata ***N / A*** che contiene istruzioni per il riscatto. Sfortunatamente, il contenuto della nota è difficile da concepire per i non madrelingua, tuttavia un gruppo di ricercatori lo ha tradotto e ha delineato alcune informazioni chiave. Afferma che dovresti contattare i criminali informatici via e-mail e allegare il tuo ID personale all'argomento del messaggio. Quindi, riceverai ulteriori istruzioni per acquistare il software di decrittazione (500 $ in BTC). Se non c'è risposta dagli estorsori, dovresti leggere le informazioni attraverso il collegamento nel browser Tor. I ricercatori di malware hanno individuato il nome di dominio che inizia con sifrekx, che è in consonanza con sifre ciki (che significa "cifratura / password + uscita" in turco). Inoltre, durante le indagini i ricercatori hanno definito che SifreCikis potrebbe essere un fratello di SifreCozucu, poiché sembra molto simile con piccole differenze.

Tripoli classificata come infezione ransomware destinata a causare la crittografia dei dati personali. Di solito, l'obiettivo principale sono foto, video, documenti e altri file che possono archiviare dati sensibili. Dopo che questo virus attacca il tuo sistema, tutti i file saranno interessati dal file .criptato estensione. Alcune vittime hanno riferito che l'estensione come .tripoli esiste anche, il che significa che ci sono due versioni di Tripoli Ransomware. In effetti, importa quale sia penetrato nel tuo PC, perché il modo in cui funzionano è quasi lo stesso. Come risultato della crittografia, l'accesso regolare a tutti i file sarà limitato e gli utenti non saranno più in grado di aprirli o modificarli. Per risolverlo, gli estorsori si offrono di eseguire i passaggi elencati in una nota di testo (COME_FIX_FILES.htm). I passaggi obbligano le vittime a installare il browser Tor e acquistare il software di decrittazione seguendo l'indirizzo allegato. La decisione su come effettuare il pagamento deve essere presa entro 10 giorni. Insistiamo contro l'azione fraudolenta in quanto non vi è alcuna garanzia che ti invieranno gli strumenti promessi. Un modo migliore è eliminare Tripoli Ransomware e ripristinare i file persi da un backup esterno (memoria USB). Se non ne hai uno, prova a utilizzare le linee guida seguenti per accedere ai tuoi dati.