Tutorial

Cdqw Ransomware, parte della famiglia STOP (Djvu), è un tipo di software dannoso che crittografa i file sul computer della vittima, rendendoli inaccessibili. Di solito si infiltra nei computer tramite download discutibili come software piratato o giochi crackati. Una volta installato, si rivolge a vari tipi di file e aggiunge il file .cdqw estensione a ciascun file crittografato. Il ransomware utilizza un complesso algoritmo di crittografia per bloccare i file, rendendo quasi impossibile la decrittografia senza la chiave appropriata. Le vittime trovano una richiesta di riscatto intitolata _readme.txt in cartelle contenenti file crittografati, chiedendo il pagamento in Bitcoin per la decrittazione. Sono disponibili strumenti di decrittografia, ma la loro efficacia dipende dal tipo di chiave utilizzata durante la crittografia. Emsisoft STOP Djvu Decryptor può decrittografare i file se per la crittografia è stata utilizzata una chiave offline, ma è meno efficace contro i file crittografati con una chiave online. La decrittografia dei file .cdqw implica innanzitutto la rimozione del ransomware dal sistema e quindi l'utilizzo degli strumenti disponibili o dei metodi di ripristino.

Tprc Ransomware è un tipo di software dannoso che crittografa i file sul computer di una vittima, rendendoli inaccessibili fino al pagamento di un riscatto. Questo articolo fornirà una panoramica completa del ransomware Tprc, inclusi i metodi di infezione, le estensioni dei file, il tipo di crittografia, la richiesta di riscatto e i potenziali strumenti di decrittazione. Il ransomware Tprc è una minaccia relativamente nuova nel mondo informatico, rilevata per la prima volta all’inizio di ottobre 2021. Prende di mira il sistema operativo Windows e rappresenta un rischio significativo sia per gli individui che per le organizzazioni. Il ransomware è progettato per impedire alle vittime di accedere ai propri file tramite crittografia. Tprc Ransomware aggiunge il file .tprc estensione ai nomi di file. Ad esempio, rinomina 1.jpg a 1.jpg.tprc, 2.png a 2.png.tprc, e così via. Tprc ransomware crea una richiesta di riscatto denominata !RESTORE!.txt. Questa nota afferma che i file della vittima sono stati crittografati e richiede un riscatto per ripristinare l'accesso ai file. Nella nota è inoltre fornito un indirizzo email per comunicazioni relative alla procedura di pagamento.

Ciao mio amico pervertito truffa via email è una forma di sextortion, un tipo di crimine informatico in cui l'autore del reato minaccia di rilasciare contenuti compromettenti o intimi della vittima a meno che non venga pagato un riscatto. Questa truffa prevede un'e-mail in cui il mittente afferma di essere un hacker che ha ottenuto l'accesso al dispositivo della vittima, inclusa la cronologia del browser e i filmati della webcam, e richiede un riscatto, solitamente in Bitcoin, per impedire il rilascio di video espliciti. Campagne di spam come "Hello My Perverted Friend" utilizzano varie tecniche per raggiungere e convincere i loro obiettivi. Spesso utilizzano la paura e l’urgenza, utilizzando un linguaggio intimidatorio per provocare il panico e richiedere pagamenti rapidi. Le e-mail possono affermare il controllo sui dispositivi della vittima e scoraggiare il contatto con le autorità o il tentativo di ripristinare i sistemi. Gli spammer raccolgono indirizzi e-mail target da pagine Web, forum, wiki e altre piattaforme online. Questi elenchi vengono quindi utilizzati per inviare e-mail di massa nella speranza che alcuni destinatari cadano nella truffa. Per eludere i filtri antispam, i truffatori adattano costantemente i propri messaggi, utilizzando oggetti e contenuti e-mail diversi.

BlackBit è un ceppo sofisticato di ransomware, scoperto per la prima volta nel febbraio 2023. È una variante del ransomware LokiLocker e utilizza .NET Reactor per offuscarne il codice, probabilmente per scoraggiare l'analisi. Il ransomware si basa sul modello Ransomware-as-a-service (RaaS), in cui i gruppi ransomware affittano la propria infrastruttura. BlackBit modifica i nomi dei file anteponendo l'indirizzo email spystar@onionmail.org, l'ID della vittima e aggiungendo il simbolo .BlackBit estensione ai nomi di file. Ad esempio, rinomina 1.jpg a [spystar@onionmail.org][random-id]1.jpg.BlackBit. BlackBit Ransomware probabilmente utilizza un potente algoritmo di crittografia, come AES o RSA, per crittografare i file della vittima, rendendoli inaccessibili senza la chiave di decrittazione. Il ransomware BlackBit crea una richiesta di riscatto denominata Restore-My-Files.txt e lo inserisce in ogni cartella contenente file crittografati. La richiesta di riscatto indica alle vittime di contattare gli aggressori tramite spystar@onionmail.org. Oltre al file di testo, BlackBit cambia anche lo sfondo del desktop e visualizza una finestra pop-up contenente una richiesta di riscatto.

Lomx Ransomware è un tipo di software dannoso che appartiene alla famiglia dei ransomware Djvu. La sua funzione principale è crittografare i file sul computer infetto, rendendoli inaccessibili all'utente. Una volta crittografati i file, Lomx aggiunge l'estensione .lomx estensione ai nomi dei file, contrassegnandoli di fatto come crittografati. Ad esempio, un file originariamente denominato photo.jpg verrebbe rinominato in photo.jpg.lomx dopo la crittografia. Dopo aver infettato un computer, Lomx prende di mira vari tipi di file e li crittografa utilizzando un robusto algoritmo di crittografia. L'esatto metodo di crittografia utilizzato da Lomx non è specificato nelle fonti fornite, ma è normale che i ransomware della famiglia Djvu utilizzino algoritmi di crittografia potenti che sono difficili da decifrare senza la chiave di decrittazione. Lomx crea una richiesta di riscatto denominata _readme.txt nelle directory contenenti i file crittografati. Questa nota informa le vittime che i loro file sono stati crittografati e che devono acquistare uno strumento di decrittazione e una chiave dagli aggressori per recuperare i propri file. La nota in genere include istruzioni su come pagare il riscatto e informazioni di contatto degli aggressori.

Loqw Ransomware è un virus informatico pericoloso che appartiene alla famiglia di ransomware STOP (Djvu). Il suo scopo principale è crittografare i file sul computer della vittima e richiedere un riscatto per la loro decrittazione. I criminali dietro questo ransomware utilizzano varie tattiche di ingegneria sociale per indurre gli utenti ignari a scaricare o eseguire il malware. Una volta che il ransomware Loqw infetta un computer, crittografa i file e aggiunge il file .loqw estensione per ciascun nome file. Loqw ransomware utilizza l'algoritmo di crittografia Salsa20. Questo metodo non è il più potente, ma fornisce comunque una quantità enorme di possibili chiavi di decrittazione. Per forzare il numero di chiavi di 78 cifre, sarebbero necessari 3.5 milioni di anni (1*10^65), anche se si utilizza il PC normale più potente. Dopo aver crittografato i file, Loqw ransomware crea una richiesta di riscatto denominata _readme.txt. Questa nota contiene istruzioni per la vittima su come pagare il riscatto, che varia da $ 490 a $ 980 (in Bitcoin).

GREEDYFATHER è un tipo di ransomware, un software dannoso che crittografa i dati sul computer della vittima e richiede un riscatto per la sua decrittazione. Questo articolo fornirà una comprensione completa del ransomware GREEDYFATHER, dei suoi metodi di infezione, delle estensioni di file che aggiunge, della crittografia che utilizza, della richiesta di riscatto che crea e dei potenziali strumenti e metodi di decrittazione. GREEDYFATHER Ransomware aggiunge il file .GREEDYFATHER estensione ai nomi dei file crittografati. Ad esempio, un file denominato 1.jpg verrebbe rinominato in 1.jpg.GREEDYFATHER. L'algoritmo di crittografia specifico utilizzato dal ransomware GREEDYFATHER non è esplicitamente menzionato nei risultati della ricerca. Tuttavia, il ransomware utilizza in genere algoritmi di crittografia avanzati, come AES (Advanced Encryption Standard) o RSA (Rivest-Shamir-Adleman), per crittografare i file. Questi metodi di crittografia sono praticamente indistruttibili senza la chiave di decrittazione corretta. Dopo aver crittografato i file, GREEDYFATHER crea una richiesta di riscatto denominata GREEDYFATHER.txt in ogni directory contenente i file crittografati. La nota rassicura la vittima sul fatto che i file crittografati possono essere ripristinati e le chiede di inviare un paio di file bloccati agli aggressori per una decrittazione di prova. Mette inoltre in guardia contro l'uso di strumenti di decrittazione gratuiti.

Ljaz Ransomware è un tipo di software dannoso che crittografa i file sul computer della vittima, rendendoli inaccessibili. Gli aggressori richiedono quindi un riscatto, spesso sotto forma di criptovaluta, in cambio della fornitura della chiave di decrittazione o dello strumento necessario per sbloccare i file crittografati. Ljaz Ransomware aggiunge il file .ljaz estensione del file ai file crittografati. Ljaz Ransomware crea una richiesta di riscatto in un file di testo denominato _readme.txt. Questa nota di solito contiene istruzioni su come pagare il riscatto per ottenere la chiave o lo strumento di decrittazione. La famiglia STOP/Djvu Ransomware utilizza l'algoritmo di crittografia Salsa20 per crittografare i file della vittima. Utilizza anche la crittografia RSA, che è uno dei metodi di crittografia più comunemente utilizzati dai gruppi di ransomware. Il ransomware inizia la sua catena di esecuzione con diversi livelli di offuscamento progettati per rallentare l'analisi del suo codice da parte degli analisti delle minacce e dei sandbox automatizzati.