Tutorial

Se stai leggendo questa pagina, allora il "SharePoint" l'e-mail è probabilmente un messaggio di truffa, che dovrebbe essere ignorato o addirittura eliminato. Inizialmente, SharePoint è uno strumento Microsoft legittimo utilizzato da molte aziende in tutto il mondo, tuttavia, alcuni truffatori ne impersonano il nome e i modelli per promuovere collegamenti/pulsanti dannosi che portano alla pesca È stato osservato che lo spam di posta elettronica "SharePoint" imita i nomi delle società e induce i destinatari a leggere alcune informazioni importanti all'interno di un allegato PDF falso. È stato segnalato che questo allegato contiene un collegamento che conduce a un sito Web Microsoft falso. Tieni presente che tale i siti Web sono progettati per indurre gli utenti a fornire informazioni sensibili e consentire agli attori delle minacce di abusarne per rubare l'accesso a Microsoft 365 (Office) o altri account probabilmente registrati con le stesse credenziali di accesso.È sempre altamente sconsigliato fare clic sui collegamenti o scaricare allegati dai messaggi Alcuni criminali informatici possono abusare di PDF, Word, Excel, RAR, ZIP e altri file autentici per impostare script eseguibili che installeranno malware. Pertanto, fai sempre attenzione a ciò che fai clic o scarichi dai messaggi di posta elettronica. La posta indesiderata "SharePoint" è solo una delle innumerevoli altre e-mail truffa che prendono di mira gli utenti ogni giorno. Fai attenzione a loro e leggi la nostra guida per proteggerti da loro in futuro.

Se sei atterrato su questo articolo, molto probabilmente sei stato colpito Niwm Ransomware, che ha crittografato i tuoi file e modificato le loro estensioni in .niwm. Il nome Niwm viene dato a questo malware solo per aiutare gli utenti a trovare la soluzione di rimozione e decrittazione e in base al suffisso che aggiunge. In realtà, questa è solo la 681a versione di STOP Ransomware (a volte chiamato Djvu Ransomware), che è attivo da più di 5 anni ed è diventato una delle famiglie di ransomware più diffuse. Niwm è stato rilasciato nei primi giorni di aprile 2023. Sfortunatamente, ora ci sono poche possibilità di decrittografia al 100% poiché utilizza potenti algoritmi di crittografia, tuttavia, con le istruzioni di seguito sarai in grado di recuperare alcuni file. utilizza la combinazione di algoritmi di crittografia RSA e AES per crittografare i file della vittima. L'algoritmo RSA viene utilizzato per crittografare la chiave AES e l'algoritmo AES viene utilizzato per crittografare i file della vittima. La chiave AES viene generata in modo casuale per ogni vittima e viene memorizzata sul server dell'aggressore. Ma prima devi rimuovere i file ransomware e terminare i suoi processi. Di seguito è riportato un esempio di richiesta di riscatto di Niwm Ransomware, che lascia sul desktop (_readme.txt). È abbastanza tipico e rimane quasi lo stesso con piccole modifiche per diversi anni.

Cylance è il nome di un'infezione ransomware che prende di mira gli utenti Windows e Linux. Gli utenti infettati da questo tipo di malware non saranno più in grado di accedere ai propri dati a causa della crittografia. Inoltre, le vittime vedranno anche i file interessati modificati con l'estensione .Cylance estensione. Successivamente, non saranno più accessibili e le vittime dovranno seguire le istruzioni di decrittazione nella richiesta di riscatto generata (denominata CYLANCE_README.txt). Tieni presente che Cylance Ransomware non ha nulla a che fare con Cylance di BlackBerry, legittime soluzioni di sicurezza informatica aziendale. In generale, la richiesta di riscatto afferma che i dati della vittima sono stati crittografati e che i criminali informatici sono gli unici detentori di chiavi private in grado di decrittografarli. Per ottenere questa chiave e presumibilmente il software per eseguire la decrittazione, alle vittime viene chiesto di contattare i truffatori via e-mail e trasferire loro denaro. Il prezzo non è reso noto e molto probabilmente calcolato separatamente per ciascuna vittima. Inoltre, i criminali informatici offrono anche di testare la decrittazione gratuitamente inviando un file crittografato. Non importa quanto sembrino affidabili i criminali informatici, è sempre sconsigliato collaborare con loro e pagare il riscatto. Molte vittime finiscono per essere ingannate e non ricevono gli strumenti di decrittazione promessi. Anche se questo non è stato segnalato per Cylance Ransomware, il rischio esiste comunque.

Nifr Ransomware, essendo una parte di STOP Ransomware (DjVu Ransomware), è un elaborato virus crittografico, che crittografa i file dell'utente e li rende inaccessibili. Il malware utilizza un algoritmo di crittografia AES (Salsa20) infrangibile e la decrittazione è possibile solo nel 2-3% dei casi. Prima genera una chiave di crittografia AES-256 univoca per ogni file che crittografa, che viene utilizzata per crittografare il contenuto del file. Questo processo è noto come crittografia simmetrica, poiché la stessa chiave viene utilizzata per crittografare e decrittografare il file. Dopo aver crittografato il file con la chiave AES-256, Nifr Ransomware crittografa quindi la chiave AES-256 con una chiave pubblica RSA-1024, inclusa nel codice del ransomware. Questo processo è noto come crittografia asimmetrica, poiché utilizza chiavi diverse per la crittografia e la decrittografia. La versione recente di STOP Ransomware aggiunge il seguente suffisso o estensione: .nifr. La variante del virus corrispondente ha ricevuto i nomi: Nifr Ransomware. Dopo la crittografia, il ransomware crea _readme.txt file, che gli specialisti chiamano "nota di riscatto", e di seguito puoi conoscere il contenuto di questo file. La nota contiene le istruzioni su come contattare gli operatori del ransomware e pagare il riscatto per ricevere la chiave di decrittazione. Il ransomware viene generalmente distribuito tramite e-mail di spam, aggiornamenti software falsi e crack software/keygen. È importante notare che non è consigliabile pagare il riscatto, poiché incoraggia i criminali e non vi è alcuna garanzia che verrà fornita la chiave di decrittazione.

D7k è il nome di un'infezione da ransomware scoperta di recente. Analogamente ad altre infezioni all'interno di questa categoria, è progettato per crittografare i dati archiviati nel sistema ed estorcere denaro per la sua decrittazione dalle vittime. Durante la crittografia, tutti i file mirati otterranno .D7k estensione e reimpostare le loro icone su vuoto. Di conseguenza, gli utenti non saranno più in grado di accedere ai propri file, anche dopo aver rimosso manualmente l'estensione appena assegnata. Una volta che la crittografia è riuscita, il virus crea un file di testo chiamato note.txt, che contiene le linee guida per la decrittazione. La nota contiene un breve testo che richiede 500 dollari per la decrittazione dei file. Questo importo deve essere inviato al portafoglio bitcoin attaccato dai criminali informatici. Il messaggio non include alcun canale di comunicazione, il che rende ambiguo il processo di decrittazione. Il pagamento del riscatto non è raccomandato perché molti criminali informatici ingannano le loro vittime e non inviano in cambio i mezzi di decrittazione promessi. Tuttavia, in questo caso, sembra essere ancora più rischioso a causa della mancanza di canali di comunicazione per contattare gli estorsori. Nonostante ciò, i criminali informatici sono solitamente le uniche figure in grado di sbloccare l'accesso ai dati in modo completo e sicuro. Nel momento in cui questo articolo è stato scritto, non sono noti strumenti pubblici di terze parti per aggirare le cifre assegnate da D7k Ransomware. La decrittazione utilizzando strumenti di terze parti o copie shadow di Windows è possibile solo in rari casi in cui il ransomware è difettoso o accidentalmente danneggiato durante il suo funzionamento per qualsiasi motivo. In caso contrario, gli unici modi per recuperare i dati sono collaborare con gli sviluppatori di ransomware o recuperare i dati dalle copie di backup esistenti. I backup sono copie di dati archiviati su dispositivi esterni come unità USB, dischi rigidi esterni o SSD.

Jycx Ransomware (in altra classificazione STOP Ransomware or Djvu Ransomware) è un malware dannoso, che blocca l'accesso ai file dell'utente crittografandoli e richiede un buyout. È stato rilasciato negli ultimi giorni di marzo 2023 e ha colpito decine di migliaia di computer. Il virus utilizza un algoritmo di crittografia infrangibile (AES-256 con chiave RSA-1024) e richiede un riscatto da pagare in Bitcoin. Tuttavia, a causa di alcuni errori di programmazione, ci sono casi in cui i tuoi file possono essere decrittografati. Una versione di STOP Ransomware, che stiamo considerando oggi, aggiunge .jycx estensioni ai file crittografati e quindi ha ottenuto il nome Jycx Ransomware. Dopo la crittografia, presenta file _readme.txt alla vittima. Questo file di testo contiene informazioni sull'infezione, dettagli di contatto e false dichiarazioni sulle garanzie di decrittazione. Le seguenti e-mail sono utilizzate dai malfattori per la comunicazione: support@freshmail.top ed datarestorehelp@airmail.cc.

Hairysquid è una variante recentemente scoperta di Mimic ransomware. Dopo la penetrazione, modifica Windows GroupPolicy, disattiva la protezione di Windows Defender e disabilita altre funzionalità di Windows per escludere qualsiasi deterrenza della sua attività dannosa. L'obiettivo di questa infezione è crittografare l'accesso ai dati archiviati nel sistema e richiedere denaro per la sua decrittazione. Durante i processi di crittografia, il virus attacca il file .Hairysquid estensione a tutti i file interessati. Una volta fatto, un file come 1.pdf si rivolgerà a 1.pdf.Hairysquid e cambiare la sua icona alla fine. Le istruzioni su come decrittografare i dati bloccati sono presentate all'interno del file READ_ME_DECRYPTION_HAIRYSQUID.txt note, che viene creato insieme alla crittografia riuscita. Nel complesso, si dice che le vittime siano state attaccate da ransomware, che ha crittografato i loro dati. Per invertire il danno e recuperare i file, le vittime devono contattare i truffatori tramite uno dei canali di comunicazione forniti (TOX messenger, ICQ messenger, Skype ed e-mail) e pagare per la decrittazione in Bitcoin. Si dice che il prezzo per la decrittazione sia calcolato in base al numero e al valore potenziale dei dati crittografati. Inoltre, è anche consentito testare gratuitamente la decrittazione inviando 3 file bloccati ai criminali informatici. Purtroppo, di solito è impossibile decrittografare i dati bloccati senza il coinvolgimento degli stessi criminali informatici.

Jyos Ransomware (aka Djvu Ransomware or STOP Ransomware) crittografa i file della vittima con Salsa20 (sistema di crittografia del flusso) e aggiunge una delle centinaia di possibili estensioni, inclusa l'ultima scoperta .jyos. Questo è apparso alla fine di marzo 2023 e ha infettato migliaia di computer in tutto il mondo. STOP è oggi uno dei ransomware più attivi, ma se ne parla poco. La prevalenza di STOP è confermata anche dal thread del forum estremamente attivo su Bleeping Computer, dove le vittime cercano aiuto. Il fatto è che questo malware attacca principalmente gli appassionati di contenuti piratati, i visitatori di siti sospetti ed è distribuito come parte di pacchetti pubblicitari. Esiste la possibilità di una decrittazione riuscita, tuttavia, ad oggi, esistono più di duecento varianti di STOP Ransomware note ai ricercatori e una tale varietà complica notevolmente la situazione.