Ransomware

Torna in 2016, KeRanger è diventato il primo ransomware che ha attaccato gli utenti Mac. La maggior parte degli utenti è rimasta sbalordita quando si è resa conto che i propri dati sono bloccati perché hanno scaricato un legittimo client BitTorrent chiamato Trasmissione. A quel tempo, i criminali informatici riuscirono ad hackerare il loro sito Web e incorporare un virus di crittografia dei file in una nuova versione che stava per uscire. Pertanto, gli utenti hanno inavvertitamente rilevato un attacco malware aggiornando l'applicazione precedentemente installata. Sfortunatamente, i laboratori non hanno identificato la misura appropriata per decrittografare i dati inflitti. Invece, le vittime offrono una soluzione a pagamento che sta acquistando un programma di decrittazione. La transazione deve essere effettuata tramite il browser Tor pagando 1 BTC (circa 407 in quel momento), ora Bitcoin rappresenta circa $ 5,260. Gli estorsori affermano anche che risponderanno a qualsiasi tua domanda se sei davvero motivato a pagare un riscatto. Puoi anche decifrare 1 file tramite la pagina Tor collegata nella nota. Come accennato, gli strumenti di terze parti non sono attualmente in grado di decifrare i dati bloccati.

Sebbene la maggior parte degli sviluppatori di ransomware si concentri sull'infettare i sistemi basati su Windows, Age Locker si rivolge invece a Mac e Linux. Il ransomware si posiziona come un virus orientato al business che si diffonde sulle società corporative, tuttavia, si verificano anche attacchi agli utenti regolari. Il processo di crittografia è abbastanza simile a Windows, l'unica differenza è l'utilizzo di estensioni e formati di file diversi. AgeLocker applica il suo prompt dei comandi personale per eseguire il processo di crittografia. I file che sono stati influenzati da AgeLocker vengono assegnati con estensioni personalizzate in base ai nomi degli utenti. È impossibile identificare quale file è stato infettato perché AgeLocker cifra il nome originale e aggiunge un'estensione casuale alla fine. Alcune persone hanno riferito che i loro file sono stati aggiunti con l'estensione .std2 l'estensione e il nome dei file crittografati inizia con age-encryption.org Indirizzo URL. Una volta che tutti i file vengono bloccati correttamente, il virus invia una richiesta di riscatto (security_audit_.eml) all'e-mail della vittima.

AESMewLocker ransomware è una vera minaccia che prende di mira i tuoi dati crittografandoli con algoritmi di formato file AES. Non è niente di strano nel mondo dei ransomware. Il virus è apparso su più forum un paio di giorni fa e ha sollevato una grande domanda intorno alle sue vittime: come decrittografare i file? Per ora, non ci sono modi praticabili per sbloccare i file che vengono crittografati con l'estensione .locked estensione dopo la penetrazione. Tutti i tuoi file diventano inaccessibili e possono essere sbloccati, solo se soddisfi i requisiti del truffatore e paghi la chiave di decrittazione. La chiave in sé non è economica, devi spendere 0.05 BTC e contattare gli estorsori per ottenere le istruzioni di decrittazione. Tutte queste informazioni sono riportate in una richiesta di riscatto (LEGGI_IT.txt) creato dopo la corretta crittografia.

IOCP è un'infezione ransomware che crittografa i dati personali e li mantiene bloccati finché le vittime non pagano un cosiddetto riscatto. Utilizza l'estensione casuale di 5 lettere per sostituire l'aspetto del file originale. Una volta aggiunto, il tuo file reimposterà la sua icona e la cambierà in 1.mp4.UAKXC, per esempio. Alcune persone si sbagliano dicendo che IOCP fa parte di Conti ransomware. Questo non è vero perché Conti utilizza algoritmi AES mentre IOCP applica Salsa20 e ChaCha20, invece. Dopo che i tuoi file vengono bloccati, il virus crea una richiesta di riscatto (R3ADM3.txt) contenente le istruzioni su come decrittografare i dati. Si dice che dovresti scrivere una e-mail a uno degli indirizzi allegati. Non sono fissati limiti di tempo, tuttavia, i criminali informatici affermano che, a meno che non si paghi per il software di decrittazione, i file verranno pubblicati sul Web. Per il momento, poiché questo ransomware è relativamente nuovo, gli esperti non hanno trovato un modo praticabile per decrittografare i file gratuitamente.

Zorab è un virus di crittografia dei file determinato da S! R1, ricercatore di malware che ha aperto una serie di altre infezioni. Le conseguenze fornite da Zorab possono essere chiaramente viste nella crittografia dei dati e nelle richieste di pagamento per ottenere strumenti di decrittografia. Tutti i file interessati dal ransomware verranno riconfigurati con .zrb or .zorab2 estensione. Ad esempio, un file privo di virus come 1.mp4 otterrà uno sguardo di 1.mp4.zrb or 1.mp4.zorab2 dopo la penetrazione. Un tale cambiamento significa che i tuoi file non saranno più accessibili. Per decrittografarli, gli estorsori si offrono di leggere le istruzioni fornite in una nota di testo (--DECRYPT - ZORAB.txt) che viene eliminato dopo aver eseguito la crittografia principale. Nella richiesta di riscatto, i criminali informatici cercano di consolare le vittime confuse e far loro sapere che i loro dati sono al sicuro e possono essere recuperati. L'unica cosa che devono fare è acquistare software di decrittazione in BTC dopo aver stabilito un contatto con i criminali informatici tramite e-mail. Inoltre, c'è un trucco progettato per suscitare fiducia negli utenti: la decrittografia di 2 piccoli file gratuitamente. Sfortunatamente, poiché hai a che fare con mezzi fraudolenti, non vi è alcuna garanzia reale che i tuoi file verranno ripristinati di conseguenza. Questo è il motivo per cui la maggior parte degli esperti informatici consiglia alle persone di risparmiare denaro e creare backup estranei preventivamente per ripristinare i file bloccati dopo l'eliminazione del malware.

Scoperto nel 2020, Coronalock limita l'accesso ai dati degli utenti crittografandoli con algoritmi ChaCha, AES e RSA. I file compromessi da questo ransomware, subiscono un cambiamento nell'estensione di entrambi .pandemia, .blocco corona or .biglock. Ad esempio, se 1.mp4 viene modificato dal virus, migrerà a 1.mp4.blocco corona or 1.mp4.biglock. Successivamente, gli estorsori visualizzano le informazioni sul riscatto nella nota (!!! READ_ME !!!. TXT or LEGGIMI_LOCK.TXT) che viene rilasciato sul desktop. È interessante notare che le persone che vengono attaccate con l'estensione ".biglock" non hanno alcuna informazione di contatto nella richiesta di riscatto per connettersi con i criminali informatici. Sembra che i suoi sviluppatori si siano dimenticati di includerlo prima del rilascio. Nel frattempo, le versioni ".corona-lock" non hanno questo inconveniente e contengono la posta elettronica nel file di testo. Se vuoi eseguire una decrittografia di prova, sei libero di inviare loro un file.

Essendo classificato come infezione da ransomware, Django non è un virus con cui scherzare. Non appena cade sul tuo PC, provoca il caos intorno ai dati personali crittografando con algoritmi speciali che non consentono a strumenti di terze parti di avere alcun argomento in futuro. Durante la crittografia dei dati, i tuoi file vengono alterati con l'estensione .djang0unchain3d estensione. Ciò significa che un file come 1.mp4 sarà cambiato in 1.mp4.djang0unchain3d e ripristina la sua icona originale. Sembra che gli sviluppatori abbiano ispirato un film di Hollywood chiamato "Django Unchained" e abbiano deciso di prendere in prestito il suo nome. Una volta terminata la crittografia, alle vittime vengono presentate le istruzioni per il riscatto in formato Readme.txt che spiegano come decrittografare i dati. I criminali informatici dicono che per recuperare i tuoi file, dovresti contattarli tramite l'indirizzo e-mail allegato e includere il tuo ID. Se non ricevi una risposta entro 24 ore, dovresti scrivere a un'altra e-mail menzionata nella nota. Dopo questo, gli estorsori ti chiederanno di acquistare la chiave di decrittazione tramite il portafoglio BTC che ti aiuterà a ripristinare l'accesso ai dati bloccati alla fine.

Scoperto di recente, Dharma-2020 è un programma ransomware che utilizza potenti algoritmi crittografici per bloccare i dati e richiedere il pagamento di un riscatto. Dopo che il virus attacca il tuo computer, crittografa istantaneamente i file archiviati ridititolandoli con l'indirizzo e-mail di un criminale e altri simboli. Per esempio, 1.mp4 verrà rinominato in qualcosa di simile 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Dopo la corretta crittografia, il programma mostra una finestra di messaggio e crea una richiesta di riscatto chiamata FILE ENCRYPTED.txt. Il malware blocca qualsiasi tentativo di decrittografare i file e di utilizzare determinati programmi di sicurezza. Quindi, Dharma-2020 Ransomware fa un classico puro chiedendo agli utenti di pagare un riscatto in BTC (da $ 50 a $ 500) e inviare uno stipendio alla loro e-mail, dopodiché ti daranno un programma di decrittazione.