Ransomware

FLAMINGO è un elemento dannoso progettato per bloccare l'accesso ai dati dell'utente eseguendo la crittografia con algoritmi crittografici. Nonostante il ransomware sia relativamente nuovo, è già noto che utilizza l'estensione .FENICOTTERO estensione per crittografare i dati. Ad esempio, un file come 1.mp4 cambierà in 1.mp4.FLAMINGO in seguito a crittografia riuscita. Successivamente, gli utenti ricevono i passaggi di decrittografia situati in una nota di testo chiamata #LEGGIMI.txt. Secondo loro, le vittime devono inviare un file di prova via e-mail (non più di 3 MB) per dimostrare le capacità di decrittazione dei criminali informatici. Quindi, riceverai una risposta con le istruzioni per acquistare (in BTC) uno strumento di decrittazione. Dobbiamo informarti che la manipolazione di file, il riavvio o lo spegnimento del PC può essere imprevedibilmente pericoloso per i tuoi dati. Di solito, gli sviluppatori di ransomware creano valori speciali che eliminano completamente i dati se vengono rilevati tentativi di modificarli. Sfortunatamente, il modo al 100% per recuperare i dati crittografati da FLAMINGO non è stato ancora trovato. È possibile disinstallare il virus solo per impedire un'ulteriore crittografia. La decrittografia può essere possibile ma deve essere testata individualmente.

In fase di sviluppo da parte di Phobos Ransomware famiglia, acuff crea un forte blocco sui dati delle vittime eseguendo la crittografia con algoritmi crittografici. Questo, quindi, limita qualsiasi tentativo di recuperare completamente i dati. Dopo che l'attacco è stato commesso, potresti vedere i tuoi file cambiare in qualcosa di simile 1.mp4.id[C279F237-2275].[unlockfiles2021@cock.li].Acuff, che è una testimonianza che i tuoi file sono stati infettati. Acuff Ransomware utilizza l'ID della vittima, l'e-mail dei criminali informatici e .Affogare estensione per evidenziare i dati crittografati. Per aiutare gli utenti a ripristinare i propri dati, gli estorsori si offrono di seguire le istruzioni per la decrittazione dell'elenco delle note. Le informazioni possono essere trovate in due file chiamati info.hta ed info.txt che vengono creati dopo la crittografia. Il primo passo nel percorso della decrittazione è contattare i criminali informatici tramite un indirizzo e-mail allegando il tuo ID generato personalmente (sbloccarefile2021@cock.li or decrifiles2021@tutanota.com). Successivamente, i truffatori risponderanno con i dettagli su come acquistare il software di decrittazione. Prima di farlo, ti viene anche offerto di inviare fino a 5 file (meno di 4 MB e non archiviati) per la decrittazione gratuita. Nonostante questa attività possa sembrare affidabile, ti sconsigliamo di soddisfare i requisiti fissati dagli sviluppatori di malware. Sarebbe un rischio pagare una grande quantità di denaro per il bene del recupero dei file.

Bondy è un'infezione di tipo ransomware che prende di mira vari tipi di dati eseguendo la crittografia con potenti algoritmi RSA. Di solito è distribuito in due versioni: prima assegna il file .legame estensione mentre un altro utilizza .Collegare per crittografare i file delle vittime. Pertanto, i dati infetti appariranno come 1.mp4.bondy or 1.mp4.connect a seconda di quale versione ha attaccato il tuo sistema. L'ultima e più importante parte dell'attività ransomware è la creazione di una nota di testo (HELP_DECRYPT_YOUR_FILES.txt) per spiegare le istruzioni di decrittazione. Si afferma che i tuoi dati siano stati crittografati con RSA, che è un algoritmo crittografico asimmetrico che richiede una chiave privata per sbloccare i dati. Tale chiave viene archiviata sul server dei criminali informatici. Può essere ottenuto solo pagando 500 $ in Bitcoin tramite il wallet allegato alla nota. Inoltre, gli estorsori offrono di decrittografare 1 file gratuitamente come prova che possono essere considerati affidabili. In effetti, tutto può andare nella direzione opposta: i criminali informatici ti inganneranno e non forniranno alcuno strumento per recuperare i tuoi dati. Le statistiche mostrano che questo accade a molti utenti che si azzardano a pagare un riscatto. Poiché non esistono strumenti gratuiti in grado di sbloccare i dati, l'unico e il modo migliore è ripristinare i file da un backup esterno, se è stato creato prima dell'attacco.

Determinato da Karsten Hahn, Generatore di accessi Netflix è un programma dannoso classificato come ransomware. Inizialmente, è promosso come strumento per creare un account Netflix gratuitamente, senza acquistare un abbonamento. Tuttavia, invece di questo, il programma avvia la configurazione del ransomware che crittografa i dati personali (con algoritmi AES-256). Diventa una vera sorpresa per gli utenti inesperti quando vedono i propri dati bloccati e non più accessibili. I dati crittografati possono essere visti chiaramente dalla nuova estensione assegnata a ciascun file. Ad esempio, il campione originale come 1.mp4 avrà un nuovo aspetto di qualcosa di simile 1.mp4.se. Quindi, subito dopo la crittografia, il virus rilascia una nota chiamata Istruzioni.txt cambiare gli sfondi del desktop al contenuto incluso nella nota generata. Le informazioni allegate suggeriscono i passaggi per eseguire la decrittografia dei dati. Per fare ciò, gli estorsori chiedono la transazione di 100 $ pari a Bitcoin. Un fatto interessante e peculiare è che Netflix Login Generator può terminare automaticamente se il tuo sistema non è basato su Windows 7 o 10. In ogni caso, se questo malware persiste nel tuo sistema, devi cancellarlo e recuperare i dati usando un copia di file.

CURATORE è un'altra versione delle infezioni ransomware che blocca i dati delle vittime chiedendo una tariffa per il suo ritorno. Il sintomo di base di CURATOR che lascia le sue tracce nel tuo sistema è l'appendice di nuove estensioni ai file interessati. Ad esempio, un file come 1.mp4 emergerà come 1.mp4.CURATOR dopo aver interagito con il ransomware. Per recuperare i tuoi dati, gli estorsori si offrono di leggere le istruzioni nel file ! = HOW_TO_DECRYPT_FILES = !. txt nota che viene creato subito dopo la crittografia. Secondo la nota fornita, gli aggressori hanno crittografato i tuoi file con algoritmi potenti (ChaCha + AES), che limitano i tentativi di ripristinare i file da soli. Di conseguenza, l'unico modo fattibile sembra acquistare la chiave di decrittazione archiviata sul server dei criminali informatici. Una volta presa una decisione, gli estorsori ti chiedono gentilmente di contattarli via e-mail per ottenere ulteriori istruzioni. Puoi anche approfittare di un'offerta speciale: inviare fino a 3 file (non più di 5 MB) per la decrittazione gratuita. Sebbene una tale mossa possa infondere fiducia negli utenti creduloni, sconsigliamo di pagare il riscatto. C'è sempre il rischio di ritrovarsi senza soldi e di non ricevere nessuno degli strumenti promessi per il recupero dei dati.

Essere parte di Dharma famiglia, Dharma-BLM è un elemento dannoso che persegue guadagni finanziari crittografando i dati personali. Lo fa assegnando una stringa di simboli tra cui ID univoco, e-mail dei cybercriminali e .blm estensione alla fine di ogni file. Ecco un esempio di come appariranno i dati infetti 1.mp4.id-C279F237.[blacklivesmatter@qq.com].blm. Al termine del processo di crittografia, il virus passa al passaggio successivo e crea una nota di testo (FILE ENCRYPTED.txt) contenente istruzioni per il riscatto. Il messaggio giustifica che tutti i dati sono stati crittografati con successo e richiede un'azione entro 24 ore per contattare i criminali informatici via e-mail e ricevere i dettagli di pagamento per acquistare gli strumenti di decrittografia. Le vittime sono inoltre avvertite che qualsiasi manipolazione con file come il cambio di nome porterà a una perdita permanente. Inoltre, gli sviluppatori ti propongono di inviare un file per la decrittazione gratuita, che è stato un trucco utilizzato da molti creatori di ransomware per instillare fiducia negli utenti creduloni e fare un accordo. Sfortunatamente, il più delle volte, la decrittografia dei dati senza il coinvolgimento degli sviluppatori non darà frutti, a meno che il ransomware non contenga alcuni bug o difetti che consentiranno a strumenti di terze parti di crackare il codice assegnato.

BitRansomware è noto come un virus di crittografia dei file che ha lo scopo di bloccare i dati dell'utente e tenerli sotto chiave fino al pagamento di un riscatto. Tale malware guadagna molti soldi per gli utenti inesperti a cui non è stata data altra scelta che pagare una tariffa perché i loro dati sono crittografati con cifrari indistruttibili. Immagina che tutti i tuoi dati personali diventino inaccessibili: questo è ciò che fa BitRansomware. Assegna il nuovo .leggimi estensione alla fine di ogni file per evidenziarli da quelli originali. Un campione di dati crittografati ha questo aspetto 1.mp4.readme. Dopo questo processo, gli estorsori visualizzeranno una nota di testo chiamata Leggi_Me.txt spiegando il processo di decrittazione. Si dice che tutti i file importanti siano stati crittografati con successo e l'unico modo possibile per implementare la decrittazione completa è pagare una tariffa tramite un collegamento Tor allegato alla nota. Di solito, questa è la verità, perché i file possono essere decrittografati solo se il ransomware contiene alcuni difetti o bug trascurati dagli sviluppatori. In ogni caso, sconsigliamo di pagare un riscatto, perché fidarsi degli estorsori è una cosa piuttosto complicata.

LockDown è un software di crittografia dei file creato per guadagnare denaro su utenti non protetti. Il virus agisce utilizzando algoritmi AES + RSA per impostare una crittografia avanzata sui dati archiviati e aggiungerli .Confinamento estensione. Molti tipi di dati verranno modificati in base a questo esempio 1.mp4.LockDown. Al termine della crittografia, LockDown crea una nota di testo (HELP_DECRYPT I TUOI FILE) contenente istruzioni per il riscatto. Gli utenti dicono che solo una chiave privata detenuta dai criminali informatici può portare a una decrittazione dei dati di successo. Per ottenerlo, le vittime devono inviare circa 460 $ di Bitcoin al portafoglio allegato. Sebbene gli estorsori dimostrino apparentemente la loro integrità consentendo agli utenti di decrittografare 1 file gratuitamente, sconsigliamo comunque di pagare il riscatto, perché c'è il rischio che i truffatori non forniscano strumenti di recupero alla fine. Per ora, non ci sono strumenti ufficiali in grado di garantire la decrittazione dei file al 100%.