Ransomware

Xorist-EnCiPhEd ha fatto luce sul mondo del ransomware un paio di anni fa e si rivolge ancora agli utenti fino a questi giorni. Essendo parte della famiglia Xorist, crittografa i dati utilizzando algoritmi XOR o TEA e assegnandoli .EnCiPhEd estensione a tutti i file. Per esempio, 1.mp4 subirà il passaggio a 1.mp4.EnCiPhEd. Se provi ad aprire uno dei file infetti, vedrai una finestra pop-up di errore che mostra le informazioni sul riscatto. A differenza di altri ransomware, i suoi sviluppatori chiedono alle vittime di inviare un messaggio SMS al numero indicato. Oltre a ciò, il virus rilascia un file di testo chiamato HOW TO DECRYPT FILES.txt che è identico alla finestra pop-up. Se non si inserisce il codice entro 5 tentativi, i file verranno eliminati completamente, come sostengono gli estorsori. Una volta terminato, molto probabilmente otterrai un collegamento basato su browser per pagare il software di decrittazione. Tuttavia, non è necessario soddisfare le richieste di riscatto perché Fabian Wosar di Emsisoft ha trovato un modo per decrittografare i file crittografati da Xorist.

Locky è un virus ransomware che crittografa i file utilizzando gli algoritmi RSA-2048 e AES-1024 e richiede 0.5 BTC (bitcoin) (equivalenti a $ 207) per ricevere "Locky Decrypter" per consentire all'utente di decrittografare i suoi documenti e immagini. Questo è un virus di ricatto molto pericoloso e attualmente ci sono solo pochi modi per decrittografare i tuoi file. In questa guida, abbiamo raccolto tutte le informazioni disponibili che possono aiutarti a rimuovere Locky ransomware virus e ripristinare i file infetti.

RedRum ransomware è un pezzo dannoso che crittografa i tuoi dati e chiede di pagare un riscatto. Una volta che la penetrazione raggiunge il successo, tutti i dati archiviati inclusi immagini, video e file di testo verranno crittografati con .rombo or .grinch (un'altra versione della famiglia RedRum) estensione. Caso in questione, se 1.mp4 è stato attaccato da questo virus, si trasformerà in 1.mp4.redrum or 1.mp4.grinch. Non appena la crittografia viene completata, RedRum rilascerà un file di testo (decryption.txt) con le informazioni sul riscatto. Secondo la nota fornita da RedRum, dovresti pagare per la chiave di decrittazione. Per questo, sei intenzionato a inviare loro un messaggio di posta elettronica e ottenere ulteriori istruzioni. Sfortunatamente, il ransomware è davvero molto ostinato e non dà alcun segno di sollievo a causa di potenti algoritmi che rendono quasi impossibile il processo di decrittazione. Tuttavia, dovresti sicuramente rimuoverlo dal tuo PC per proteggere altri file e applicare tutte le misure necessarie per evitare che accada di nuovo.

Se non riesci ad aprire i tuoi file, è molto probabile che sia perché Hakbit ransomware ha attaccato il tuo PC. Gli sviluppatori di questo pezzo utilizzano algoritmi AES per cifrare i dati memorizzati (ad esempio immagini, video, documenti, file di testo, ecc.). In altre parole, tutto ciò che si trova sui tuoi dischi sarà completamente bloccato. Ci sono un paio di estensioni utilizzate da Hakbit per modificare i file: .criptato, .devastazione, .parte or .gesd. Esempi di file crittografati hanno questo aspetto 1.mp4.criptato, 1.jpg.ravack, 1.doc.parte or 1.xls.gesd. Dopo questo, Hakbit rilascia un file di testo chiamato HELP_ME_RECOVER_MY_FILES.txt ed carta da parati.bmp, che in alcuni casi sostituisce gli sfondi del desktop. Entrambi contengono informazioni su come recuperare i file. Per fare ciò, gli utenti dovrebbero pagare 300 USD in Bitcoin tramite l'indirizzo allegato e i creatori dell'anello via e-mail. Sfortunatamente, l'acquisto di software di decrittografia è l'unico modo per decrittografare i tuoi dati poiché nessuno degli strumenti di terze parti può gestirlo. Tuttavia, ti sconsigliamo vivamente di spendere i tuoi soldi per questo perché non vi è alcuna garanzia che i tuoi dati verranno ripristinati.

Conosciuto anche come Mimica, ShivaGood ransomware non ha di gran lunga buone intenzioni perché è progettato per crittografare i dati degli utenti e richiedere il pagamento del riscatto in bitcoin. Questo pezzo dannoso utilizza speciali algoritmi crittografici e assegna l'estensione ".good" a più file (PDF, documenti, immagini, video, ecc.). Per esempio, 1.mp4 verrà rinominato 1.mp4.buonoe allo stesso modo. Una volta che ShivaGood ha completato la procedura di crittografia, creerà un file di testo chiamato COME_TO_RECOVER_FILES.txt. Questa nota contiene informazioni sulla crittografia dei dati. Per decrittografarlo, gli estorsori ti chiedono di contattarli via e-mail e di allegare il tuo ID personale menzionato anche nella nota. Una volta fatto, le frodi ti ricontatteranno con le istruzioni di pagamento per ottenere la chiave di decrittazione. Inoltre, i criminali informatici propongono di sbloccare 3 file (meno di 10 MB) gratuitamente. Questo è un trucco per dimostrare la loro integrità poiché la realtà può differenziarsi in modo significativo. Possono semplicemente estorcere denaro e dimenticare le loro promesse.

Soldato Ransomware è un pezzo dannoso che crittografa i dati dell'utente e ruba i loro soldi per decrittografare i file. È stato scoperto per la prima volta dal ricercatore di sicurezza Amigo-A. Durante il processo di crittografia, tutti i file vengono modificati con l'estensione .xsmb estensione allegata alla fine di un file. Ad esempio, qualcosa di simile 1.mp4 cambierà il suo nome in 1.mp4.xsmb e reimpostare la sua icona. Dopo tutto, il ransomware genera un file di testo (contatto.txt) o immagine (contact.png) sul desktop della vittima. Come indicato in questi file, gli utenti devono inviare 0.1 BTC o 4 ETH tramite l'indirizzo collegato. Inoltre, puoi inviare fino a 3 file alla loro posta elettronica per la decrittazione gratuita. Vale anche la pena ricordare che Soldier Ransomware sembra essere stato creato e gestito da una sola persona, come suggerisce la nota. Sfortunatamente, Soldier Ransomware è impossibile da decrittografare senza il coinvolgimento dei criminali informatici.

Roger è un'altra forma di Dharma famiglia che crittografa i dati con codici infrangibili e chiede alle vittime di pagare un riscatto. Quando si infiltra nel sistema, tutti i dati archiviati verranno rinominati con l'ID della vittima, l'e-mail del criminale informatico e .roger estensione. Per illustrare, un file come 1.mp4 passerà a 1.mp4.id-1E857D00.[helpdecoder@firemail.cc].ROGER". Tieni presente che ID ed e-mail possono variare individualmente. Al termine della crittografia del file, il virus creerà un file di testo denominato FILE ENCRYPTED.txt sul desktop. In questa nota, le persone possono familiarizzare con i passaggi per sbloccare i propri dati. Per questo, dovresti fare clic sul collegamento allegato nel browser Tor e ti ricontatteranno in 12 ore per istruirti sull'acquisto del loro software di decrittazione. In caso contrario, dovresti scrivere loro utilizzando un'e-mail di backup. Sfortunatamente, pagare per il software potrebbe essere una trappola che metterà a rischio le tue finanze.

PwndLocker ransomware è un virus di crittografia dei file creato per prendere di mira le reti aziendali e le amministrazioni locali. Tuttavia, gli utenti regolari possono anche diventare vittime dei criminali informatici. Dopo la penetrazione, PwndLocker danneggia le impostazioni di più servizi Windows e crittografa i dati interni e di rete modificando le estensioni e creando una richiesta di riscatto. Il numero di estensioni assegnate può variare a seconda dei formati di file. Il virus utilizza .ProLock, .pwnd or .key estensioni, tuttavia, non ha alcun senso quale abbia alterato i tuoi file perché implementano la stessa funzione. Ad esempio, in alcuni casi, l'originale 1.mp4 sarà trasformato in 1.mp4.ProLock. In altri scenari, i dati interessati possono presentare estensioni ".pwnd" o ".key". La richiesta di riscatto (H0w_T0_Rec0very_Files.txt), che viene quindi rilasciato sul desktop, suggerisce che la tua rete è stata penetrata e crittografata con potenti algoritmi.