I virus

FAST Ransomware è un tipo di malware che il nostro team di ricerca ha scoperto di recente mentre esaminava gli invii sul sito web di VirusTotal. Questo particolare programma dannoso è classificato come ransomware, il che significa che è progettato per crittografare i dati sul computer di una vittima e richiedere un riscatto in cambio della sua decrittazione. Quando abbiamo testato il ransomware sulla nostra macchina, abbiamo notato che crittografava i file e ne modificava i nomi. I titoli dei file originali sono stati modificati aggiungendo l'indirizzo e-mail dei criminali informatici, un ID univoco della vittima e il file .FAST estensione. Ad esempio, un file denominato sample.pdf sembrerebbe come sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST dopo la crittografia. Dopo aver completato il processo di crittografia, il ransomware FAST ha rilasciato una nota di riscatto intitolata #FILEENCRYPTED.txt sul desktop della vittima.

EXISC è una forma di malware nota come ransomware che è venuta alla nostra attenzione durante la nostra indagine. Il suo scopo principale è crittografare i dati e richiedere il pagamento in cambio della chiave di decrittazione. Dopo aver eseguito un campione di questo ransomware sul nostro sistema di test, abbiamo osservato che crittografava i file e aggiungeva il .EXISC estensione ai loro nomi di file originali. Ad esempio, un file denominato sample.pdf sembrerebbe come sample.pdf.EXISC. Il ransomware ha anche creato una richiesta di riscatto intitolata Please Contact Us To Restore.txt. Sulla base del messaggio contenuto nella nota, è diventato evidente che EXISC si rivolge principalmente alle grandi organizzazioni piuttosto che ai singoli utenti domestici. Le vittime spesso non ricevono le chiavi o il software di decrittazione promessi, anche dopo aver soddisfatto le richieste di riscatto. Pertanto, sconsigliamo vivamente di pagare il riscatto, in quanto non garantisce il recupero dei dati e perpetua solo attività criminali.

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) è estorsore estorsivo di virus con crittografia di file. Questo è uno dei ransomware più pericolosi con un alto effetto dannoso e tasso di prevalenza. Utilizza l'algoritmo di crittografia AES-256 in modalità CFB con zero IV e un'unica chiave a 32 byte per tutti i file. Viene crittografato un massimo di 0x500000 byte (~ 5 Mb) di dati all'inizio di ogni file. Il virus si aggiunge .vaze estensioni ai file codificati. L'infezione colpisce file importanti e preziosi. Si tratta di documenti MS Office, OpenOffice, PDF, file di testo, database, foto, musica, video, file di immagini, archivi, file di applicazioni, ecc. Djvu Ransomware non crittografa i file di sistema, per assicurarsi che Windows funzioni correttamente e gli utenti siano in grado di navigare in internet, visitare la pagina di pagamento e pagare il riscatto. Vaze ransomware crea _readme.txt file, che si chiama "nota di riscatto" e contiene le istruzioni per effettuare il pagamento e i dettagli di contatto. Il virus lo colloca sul desktop e nelle cartelle con i file crittografati. Gli sviluppatori offrono i seguenti dettagli di contatto: support@freshmail.top e datarestorehelp@airmail.cc.

Virus disastroso noto come STOP Ransomware, in particolare, la sua ultima variazione Vapo Ransomware non si allenta e continua la sua attività dannosa anche durante il picco dell'effettiva pandemia di coronavirus umano. Gli hacker rilasciano nuove varianti ogni 3-4 giorni ed è ancora difficile prevenire l'infezione e guarire da essa. Le versioni recenti hanno estensioni modificate, che vengono aggiunte alla fine dei file interessati, ora sono: .vapo. Sebbene siano disponibili strumenti di decrittazione di Emsisoft per le versioni precedenti, quelli più recenti di solito non sono decrittografabili. I processi di penetrazione, infezione e crittografia rimangono gli stessi: campagne di malvertising spam, download peer-to-peer, disattenzione dell'utente e mancanza di una protezione decente portano a una grave perdita di dati dopo la crittografia utilizzando potenti algoritmi AES-256. Dopo aver terminato la sua devastante attività, Vapo Ransomware lascia il file di testo: una richiesta di riscatto, chiamata _readme.txt, da cui possiamo apprendere, che la decrittazione costa da $490 a $980 ed è impossibile senza una determinata chiave di decrittazione.

Gatq Ransomware è, infatti, un sottotipo di famigerato STOP Ransomware (DjVu Ransomware), attivo da dicembre 2017. Il virus utilizza l'algoritmo di crittografia AES-256 (modalità CFB). Questa nuova versione è apparsa a metà maggio 2023 e aggiunge .gatq estensione ai file crittografati. STOP Ransomware appartiene a una famiglia di cripto-virus, che richiedono denaro in cambio della decrittazione. La buona notizia è che la maggior parte delle versioni precedenti di Gatq Ransomware potrebbe essere decifrata utilizzando uno strumento speciale chiamato STOP Djvu Decryptor (link per il download sotto nell'articolo), sviluppato da EmsiSoft. Gatq Ransomware utilizza esattamente le stesse e-mail, modelli di richiesta di riscatto e altri parametri di dozzine dei suoi predecessori: support@freshmail.top e datarestorehelp@airmail.cc. Il malware crea _readme.txt file della nota di riscatto con tutte le informazioni di contatto e le spiegazioni.

Gaze Ransomware è una delle tante versioni di ransomware rilasciate dal STOP/Djvu famiglia. Questa particolare versione è stata rilasciata alla fine di maggio 2023. Proprio come le versioni precedenti, Gaze Ransomware crittografa i dati archiviati nel PC e richiede un riscatto crittografico per un software di decrittazione unico che sbloccherà questi dati. Molto spesso, malware come Gaze esploreranno i file disponibili e bloccheranno l'accesso a quelli più preziosi. L'elenco di tali di solito è costituito da immagini, musica, video e documenti contenenti informazioni importanti. Dopo aver individuato questi file, il file-encryptor scriverà potenti algoritmi crittografici sui file di destinazione per impedire agli utenti di avvicinarsi manualmente alla loro decrittazione. Le vittime infette da questa versione del ransomware vedranno i loro dati modificati con il .gaze estensione. Ciò significa che un file compromesso come 1.pdf cambierà in qualcosa del tipo 1.pdf.gaze. Quindi, gli sviluppatori di Gaze hanno impostato il loro virus per creare il file _readme.txt file che contiene le linee guida per la decrittazione.