Tutorial

In questo articolo descriviamo la terza generazione di STOP Ransomware, le due versioni precedenti sono state descritte in precedenza dal nostro team. Questa variazione è stata diffusa attivamente in agosto e settembre 2018. Il virus ha già attaccato utenti di 25 paesi tra cui Brasile, Cile, Vietnam, USA, Emirati Arabi Uniti, Egitto, Algeria, Indonesia, India, Iran, Polonia, Bielorussia, Ucraina. Questa variazione utilizza la crittografia simmetrica e asimmetrica e aggiunge .KEY PASS, .PERCHÉ or .SAVEfile estensioni ai file dopo la crittografia. Gli intrusi chiedono un riscatto di $ 300 per la decrittazione. Offrono di decrittografare fino a 3 file casuali gratuitamente, per dimostrare che la decrittografia è possibile. Gli hacker avvertono inoltre che se l'importo non viene pagato entro 72 ore, il ripristino dei dati sarà impossibile.

Magniber My Decryptor ransomware è un cripto-virus diffuso, che prende di mira i PC Windows. Si concentra sugli utenti inglesi e sudcoreani. Da giugno 2018, gli attacchi Magniber si sono spostati in altri paesi della regione Asia-Pacifico: Cina, Hong Kong, Taiwan, Singapore, Malesia, Brunei, Nepal e altri. Virus prende il nome dalla combinazione delle due parole MagniTude + cerber. Qui Magnitude è una raccolta di exploit, l'ultimo per Cerber è il vettore di infezione. Con questa minaccia, il malware Cerber ha terminato la sua distribuzione a settembre 2017. Ma sul sito Tor del ransomware si afferma: Il mio Decryptor, ecco da dove viene la seconda parte del nome. Dopo la crittografia, Magniber My Decryptor Ransomware può aggiungere 5-6-7-8 o 9 lettere casuali come estensione del file. Magniber My Decryptor Ransomware richiede 0.2 BitCois per la decrittazione dei file. Gli hacker minacciano di raddoppiare l'importo in 5 giorni. Virus può crittografare quasi tutti i file sul tuo computer, inclusi documenti MS Office, OpenOffice, PDF, file di testo, database, foto, musica, video, file di immagini, archivi.

Ransomware gamma è un virus di crittografia dei file, classificato come ransomware e appartenente alla famiglia Crysis-Dharma-Cezar. Questa è una delle famiglie di ransomware più diffuse. Ha preso il nome dall'estensione del file che aggiunge ai file crittografati. Virus utilizza un'estensione complessa che consiste in un indirizzo e-mail e un numero di identificazione univoco a 8 cifre (generato in modo casuale). Gli sviluppatori di Gamma Ransomware richiedono da 0.05 a 0.5 BTC (BitCoins) per la decrittografia, ma si offrono di decrittografare 1 file non archiviato gratuitamente. Il file dovrebbe essere inferiore a 1 Mb. Ti consigliamo di recuperare 1 file casuale, in quanto può aiutare per una possibile decodifica in futuro. Conserva la coppia di campioni crittografati e decrittografati. Al momento, non sono disponibili strumenti di decrittografia per Gamma Ransomware, tuttavia, ti consigliamo di utilizzare le istruzioni e gli strumenti di seguito. Spesso gli utenti rimuovono copie e duplicati di docmunet, foto, video: l'infezione potrebbe non influire sui file eliminati. Alcuni dei file rimossi possono essere ripristinati utilizzando il software di recupero file.

Java ransomware è un virus estremamente dannoso per la crittografia dei file, che appartiene alla famiglia dei ransomware Dharma / Crysis. Aggiunge .Giava estensione a tutti i file crittografati. Di solito, questo è un suffisso complesso che contiene un ID univoco e un messaggio di posta elettronica. Java Ransomware utilizza la posta indesiderata con allegati .docx dannosi. Tali allegati hanno macro malicios, che vengono eseguite quando l'utente apre il file. Questa macro scarica eseguibili dal server remoto, che, a sua volta, avvia il processo di crittografia.

Nozelesn ransomware è un nuovo tipo di ransomware, che utilizza la crittografia AES-128 per codificare i file degli utenti. Si aggiunge .nozelesn estensione a file "in cifratura". Secondo i ricercatori di ro Nozelesn Ransomware ha prima preso di mira la Polonia, ma poi si è esteso ad altri paesi europei. Dopo il successo della crittografia, il virus cade COME_FIX_NOZELESN_FILES.htm file con messaggio di richiesta di riscatto sul desktop e nelle cartelle con i file interessati. Il prezzo per la decrittazione è di 0.10 BitCoin, che attualmente è ~ $ 650. I malfattori promettono di inviare la chiave di decrittazione entro 10 giorni. Tuttavia, non ci si può fidare dei cybercriminali in quanto, secondo la nostra esperienza, spesso non promettono di non mettere a rischio il loro algoritmo di crittografia. Al momento della stesura di questo articolo non sono stati rilasciati decryptor, ma siamo sempre al passo con la situazione.

JobCrypter ransomware è un ransomware crypto-virus basato sul codice Hidden Tear. Virus aggiunge .locked or css estensione sto file crittografati. Questo crypto-extortioner crittografa i dati dell'utente utilizzando 3DES e quindi richiede un riscatto per restituire i file. A giudicare dal testo della richiesta di riscatto, JobCrypter si concentra solo sugli utenti francesi. Tuttavia, è interessante notare che molti PC JobCrypter infetti erano in Lituania. Per rimuovere il blocco dei file, la parte interessata deve pagare un riscatto di 300 euro dalla PaySafeCard.

Versione aggiornata di STOP Ransomware ransomware aggiunge .PAUSA, .CONTACTUS, .DATASTOP o .STOPDATA suffissi ai file crittografati. Virus utilizza ancora l'algoritmo di crittografia RSA-1024. Tutte le versioni, tranne .STOPDATI, chiedi $ 600 di riscatto in BTC (criptovaluta BitCoin), l'ultimo offre la decrittazione per $ 200. Ancora malfattori si offrono di decrittografare da 1 a 3 file gratuitamente per dimostrare che la decrittazione è possibile. Questo può essere utilizzato per tentare la decodifica in futuro. Al momento, sfortunatamente, l'unico modo per ripristinare i tuoi file è dai backup.

Dharma-Arena ransomware appartiene alla famiglia CrySis, il precedente ransomware di questo tipo era Dharma Ransomware, che abbiamo descritto in questo blog. Dharma-Arena Ransomware è stato rilevato per la prima volta da ricerche di sicurezza nell'agosto 2017. Da allora, ha avuto numerosi aggiornamenti. Diverse versioni di Dharma-Arena Ransomware richiedono importi di riscatto diversi. Varia da 0,20 a 0,73 BitCoin, che è vicino a $ 5000. Gli esperti di sicurezza sconsigliano di pagare gli sviluppatori di ransomware, poiché ciò li incoraggia a creare nuove varianti e non garantisce la decrittografia dei file. In realtà, la maggior parte delle volte i malfattori non inviano chiavi di decrittazione. Le ultime versioni di Dharma-Arena Ransomware non sono decodificabili, tuttavia esiste la possibilità di ripristinare i file interessati dalle versioni precedenti.