Tutorial

HexaCrypt Ransomware rappresenta una nuova minaccia nel panorama digitale, progettata appositamente per crittografare i file delle vittime ed estorcere denaro per la loro decifratura. Dopo essersi infiltrato in un sistema, questo ransomware aggiunge una stringa di caratteri casuali ai file interessati, alterandone l'estensione e rendendoli inaccessibili senza la chiave di decifratura. Ad esempio, un file denominato example.jpg potrebbe essere rinominato in example.jpg.8s43uq12, rendendolo inaccessibile. Gli aggressori sfruttano algoritmi di crittografia avanzati, rendendo quasi impossibile per le vittime riottenere l'accesso ai propri dati senza uno strumento di decrittazione fornito dagli stessi criminali informatici. Oltre alla crittografia dei file, HexaCrypt rilascia un file con una richiesta di riscatto denominato [stringa_casuale].READ_ME.txt in diverse directory, il messaggio fornisce alla vittima istruzioni su come procedere con il pagamento del riscatto. Spesso la nota richiede un importo specifico in Bitcoin e prevede un lasso di tempo limitato per il rispetto delle condizioni, sotto la minaccia della perdita permanente dei dati o della divulgazione pubblica dei file rubati.

Qilra Ransomware rappresenta una formidabile minaccia informatica, crittografando i file delle vittime e aggiungendo il distintivo .qilra estensione. Una volta eseguito, si infiltra furtivamente nel sistema, analizzando i dati sensibili prima di avviare la sua routine di crittografia. Sebbene il metodo di crittografia preciso non sia stato divulgato pubblicamente dagli sviluppatori, i ransomware di questa natura implementano in genere algoritmi crittografici robusti come AES o RSA, rendendo la decrittazione non autorizzata quasi impossibile senza la chiave di decrittazione univoca in possesso degli aggressori. Dopo aver crittografato i file, genera una richiesta di riscatto denominata RESTORE-MY-FILES.TXT, posizionandolo strategicamente sul desktop della vittima. Questa nota informa l'utente della crittografia e richiede un riscatto per il recupero del file, spingendo spesso la vittima a contattare gli aggressori tramite l'indirizzo email fornito.

CrypteVex Ransomware è un software dannoso classificato come ransomware, progettato principalmente per crittografare dati preziosi su un sistema preso di mira e successivamente richiedere un riscatto in cambio di una chiave di decrittazione. Dopo essersi infiltrato in un computer, crittografa sistematicamente i file, rendendoli inaccessibili, e aggiunge a ogni nome di file un .cryptevex estensione, che indica il loro stato compromesso. Ad esempio, un file denominato document.txt potrebbe diventare document.txt.cryptevex post-infezione. Utilizzando robusti algoritmi crittografici, spesso una combinazione di crittografia simmetrica e asimmetrica, CrypteVex garantisce che, senza la chiave di decrittazione, decifrare i file bloccati sia praticamente impossibile per l'utente medio. Le vittime vengono in genere accolte con una richiesta di riscatto, che viene incollata come sfondo del desktop e salvata come file HTML denominato README.html in varie directory. Questo messaggio mette in guardia gli utenti in modo minaccioso riguardo ai loro file crittografati, esortandoli ad acquistare uno strumento di decrittazione dagli aggressori entro un determinato periodo di tempo, con la minaccia di raddoppiare il riscatto se il ritardo supera i due giorni.

Forgive Ransomware è un tipo di malware che crittografa i file su un sistema infetto, rendendoli di fatto inaccessibili fino al pagamento di un riscatto. Una volta eseguito, prende di mira una varietà di tipi di file e aggiunge .forgive estensione a ciascuno, rendendolo facilmente identificabile ma disturbando anche la struttura dei file dell'utente alterando i nomi dei file come picture.jpg a picture.jpg.forgiveUtilizzando algoritmi di crittografia avanzati, il ransomware garantisce che i file non possano essere aperti o utilizzati senza la chiave di decrittazione, in possesso solo degli aggressori. Una componente importante di questo ransomware è la richiesta di riscatto, che viene visualizzata sotto forma di una finestra pop-up intitolata ransom_note.txtQuesta nota appare sul desktop dell'utente, richiedendo il pagamento di 500 dollari in Ethereum a un indirizzo wallet specifico, con la promessa di fornire una chiave di decrittazione in cambio. In genere, il pagamento del riscatto non garantisce il recupero dei file, poiché le vittime spesso scoprono che i criminali informatici non inviano le chiavi di decrittazione necessarie nemmeno dopo il pagamento.

Scoperto dal nostro team di ricercatori, Hudson Ransomware è un software dannoso che crittografa i file sui sistemi infetti e richiede un riscatto per la loro decifratura. Questo ransomware aggiunge ai nomi dei file l'estensione .{ID_vittima}.hudson, rendendo i file inaccessibili senza la chiave di decrittazione fornita solo a pagamento. Le vittime in genere noteranno i loro file, una volta denominati con un nome simile a example.docx, apparendo come example.docx.{victim's_ID}.hudsonI metodi di crittografia impiegati dal ransomware Hudson sono altamente sofisticati e probabilmente utilizzano una combinazione di algoritmi asimmetrici e simmetrici per garantire che la decrittazione sia impossibile senza la chiave privata univoca. Dopo la crittografia, il ransomware Hudson lascia una richiesta di riscatto denominata README.TXT Sul dispositivo infetto. Questo file contiene istruzioni su come recuperare i dati crittografati, in genere avvertendo gli utenti di non rinominare i file o tentare la decrittazione tramite terze parti, poiché queste azioni potrebbero causare la perdita permanente dei dati.

Il file "ntkrnlmp.exe", abbreviazione di NT Kernel Multi-Processor Version, è un componente fondamentale del kernel del sistema operativo Windows. È specificamente progettato per gestire la memoria di sistema e le operazioni del processore, in particolare nei sistemi con più core di processore. Quando si visualizza un messaggio di errore Blue Screen of Death (BSoD) che cita ntkrnlmp.exe, indica un errore critico in profondità nel kernel di Windows, che costringe il sistema a fermarsi per prevenire potenziali danni. Questo errore non è causato dal fatto che il file in sé sia ​​dannoso, ma indica piuttosto che qualcos'altro ha causato un errore all'interno di questo processo principale. Tra i colpevoli comuni ci sono driver di dispositivo corrotti o incompatibili, in particolare driver grafici, di rete o del chipset, che interagiscono pesantemente con il kernel. Anche i moduli RAM difettosi possono innescare questo errore, poiché la corruzione della memoria influisce direttamente sulle operazioni del kernel. Inoltre, file di sistema essenziali di Windows corrotti, componenti surriscaldati come la CPU o la GPU che portano a instabilità, impostazioni di overclocking aggressive che spingono i limiti hardware, errori del disco rigido o persino infezioni da malware che interferiscono con i processi di sistema possono portare a un BSoD ntkrnlmp.exe. Individuare la causa esatta richiede spesso una risoluzione sistematica dei problemi a causa delle varie potenziali fonti del problema. Questo errore può manifestarsi con diversi codici di arresto, come KERNEL_MODE_HEAP_CORRUPTION, PAGE_FAULT_IN_NONPAGED_AREA o SYSTEM_SERVICE_EXCEPTION, evidenziando ulteriormente la sua connessione alle funzioni principali del sistema.

Hero Ransomware è un programma dannoso appartenente alla famiglia di ransomware Proton, progettato per crittografare i file degli utenti e richiedere un riscatto per la decifratura. Durante un attacco, aggiunge ai file infetti l'estensione .hero77, che include anche l'indirizzo email dell'aggressore. Ad esempio, un file denominato document.docx verrebbe rinominato in document.docx.[hero77@cock.li].hero77Questo processo di crittografia è sofisticato, poiché impiega algoritmi crittografici robusti, difficili da decifrare senza la chiave di decrittazione, generata in modo univoco per ogni vittima. Una volta completata la crittografia, il ransomware visualizza una richiesta di riscatto in un file di testo denominato #Read-for-recovery.txt, oltre a modificare lo sfondo del desktop con istruzioni per contattare l'aggressore. La nota non fornisce dettagli specifici sulla crittografia o sulle richieste di riscatto, ma fornisce solo gli indirizzi email per contattarlo.

PayForRepair Ransomware è un programma dannoso appartenente alla famigerata famiglia di ransomware Dharma. Progettato per crittografare i dati degli utenti e richiedere un riscatto per la decrittazione, aggiunge un'estensione di file distinta, .P4R, ai file crittografati. Inoltre, include un ID vittima univoco e l'indirizzo email dell'aggressore nel nome di ogni file compromesso. Ad esempio, un file originale denominato document.docx verrebbe rinominato in document.docx.id-[uniqueID].[attacker's email].P4RUtilizzando robusti algoritmi di crittografia tipici dei ransomware di fascia alta, garantisce che i file rimangano inaccessibili senza la decifratura. Questo malware genera richieste di riscatto in due formati: una finestra pop-up e un file di testo denominato info.txtQuest'ultimo viene depositato in ogni directory interessata. Le istruzioni informano le vittime della crittografia e le guidano a contattare gli aggressori via e-mail per negoziare i termini del recupero dei file. Nonostante offra la possibilità di decifrare alcuni file come prova prima del pagamento, la richiesta di riscatto mette in guardia gli utenti dal modificare i file crittografati o dall'utilizzare strumenti di decrittazione di terze parti, citando potenziali rischi di perdita di dati.