I virus

Foza Ransomware è un devastante virus di crittografia della serie di STOP Ransomware (Djvu Ransomware). Foza Ransomware è una variante della famiglia STOP/Djvu Ransomware, nota per l'utilizzo di una combinazione di due algoritmi di crittografia: RSA e AES. RSA viene utilizzato per crittografare la chiave AES simmetrica generata per ciascun file. Ciò significa che ogni file ha la propria chiave AES univoca, che viene utilizzata per crittografare e decrittografare il contenuto del file. La coppia di chiavi RSA viene generata dal ransomware sul computer della vittima e la chiave pubblica viene inviata al server dell'aggressore, che viene quindi utilizzato per crittografare la chiave AES simmetrica. Ha preso il nome da .foza estensione, che il ransomware aggiunge alla fine dei file crittografati. Da un punto di vista tecnico, il virus rimane lo stesso delle versioni precedenti. L'unica cosa che cambia negli ultimi due anni sono i dettagli di contatto dei malfattori.

Kafan è un nuovo virus ransomware che infetta gli utenti Windows per crittografare i dati personali ed estorcere denaro per la sua decrittazione dalle vittime. Una volta installato, il ransomware eseguirà una rapida scansione dei dati archiviati e avvierà il processo di crittografia utilizzando potenti algoritmi crittografici. Inoltre, il malware assegnerà anche il proprio .kafan estensione per distinguere i file bloccati. Ad esempio, un file originariamente denominato 1.pdf cambierà in 1.pdf.kafan e diventano non più accessibili. Infine, il crittografatore di file genera una nota di riscatto chiamata help_you.txt con le istruzioni su come restituire i dati. Il messaggio di riscatto richiede alle vittime di inviare un messaggio di posta elettronica ai criminali informatici (PYTHONHAVENONAME@163.COM) e pagare per la decrittazione. Durante l'invio del messaggio, alle vittime viene anche chiesto di scrivere il proprio ID nel titolo/oggetto del messaggio. Si dice che il prezzo per la decrittazione dipenda dalla velocità con cui le vittime stabiliscono la comunicazione con gli aggressori. I criminali informatici utilizzano tali tecniche di manipolazione per esercitare ulteriore pressione sulle vittime e potenzialmente costringerle ad accettare di pagare il riscatto.

Recov è una nuova variante ransomware della famiglia VoidCrypt. Dopo essersi infiltrato in un sistema, esegue la crittografia dei dati (per impedire alle vittime di accedere ai file) e dice alle vittime di pagare un kit di software di decrittazione + chiave RSA per sbloccare i file. Le istruzioni su come farlo sono presentate all'interno del file Decryption-guide.txt nota di riscatto. Un'altra cosa che fa questo ransomware è assegnare modifiche visive ai file crittografati: una stringa di caratteri composta dall'ID della vittima, dall'indirizzo e-mail dei criminali informatici e dal .Recov estensione verrà aggiunta ai nomi dei file. Ad esempio, un file originariamente denominato 1.pdf sarà cambiato in 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov o similmente. I criminali informatici chiedono alle vittime di stabilire un contatto con loro tramite e-mail (Recoverifiles@gmail.com o Recoverifiles@protonmail.com in caso di mancata risposta). Sebbene non sia chiaro di cosa abbiano bisogno gli estorsori, è probabile che richiederanno alle loro vittime di pagare una certa tariffa per uno strumento di decrittazione e una chiave RSA che sono disponibili solo per gli sviluppatori.

Kadavro Vector è un programma ransomware orientato verso utenti di lingua inglese, russa e norvegese. Lo scopo di questo virus è crittografare dati potenzialmente importanti ed estorcere denaro alle vittime per la sua decrittazione. Mentre rende i file inaccessibili, il malware aggiunge anche l'estensione .vector_ estensione ai file di destinazione. Ad esempio, un file originariamente denominato 1.pdf sperimenterà un cambiamento in 1.pdf.vector_ e ripristinare la sua icona originale. Subito dopo il successo della crittografia, Kadavro Vector forza l'apertura della sua finestra pop-up contenente le linee guida per la decrittazione. Inoltre, anche gli sfondi del desktop vengono modificati. La nota di riscatto istruisce le vittime a non spegnere Internet e il proprio computer poiché potrebbe altrimenti causare danni ai dati crittografati. Per restituire i dati, le vittime devono acquistare la criptovaluta Monero (XMR) del valore di $ 250 e inviarla all'indirizzo crittografico dei criminali informatici. Inoltre, c'è anche un timer che indica quanto tempo gli utenti devono pagare per la decrittazione. Se le vittime non riescono a farlo entro il periodo di tempo assegnato, si dice che tutti i file verranno eliminati utilizzando algoritmi high-edge, rendendoli permanentemente irrecuperabili in futuro. In tal modo, gli attori delle minacce cercano di esercitare ulteriore pressione sulle vittime e quindi costringerle a soddisfare le richieste di decrittazione.

Coty Ransomware fa parte di un grande famiglia di STOP/Djvu Ransomware. Ha preso il nome perché le versioni originali del malware aggiungevano l'estensione .stop (dopo .djvu) e li ha crittografati con una combinazione di crittografia AES e RSA per rendere i file inaccessibili sul computer Windows infetto. Coty Ransomware secondo il suo nome aggiunge .coty estensione. Questa versione è apparsa alla fine di aprile 2023. Una volta che il ransomware Coty/STOP ha completato la procedura di crittografia, il virus crea una richiesta di riscatto per _readme.txt file. Il messaggio dei truffatori dice che le vittime devono pagare il riscatto entro 72 ore. Gli autori del virus STOP chiedono $490 durante i primi tre giorni e $980 dopo questo periodo di tempo. Per fornire conferma, gli hacker consentono di inviare 1-3 file "non molto grandi" per la decrittazione gratuita support@freshmail.top or datarestorehelp@airmail.cc per un test.

Cooper è un virus ransomware che infetta i sistemi per crittografare file potenzialmente importanti e richiede denaro per la loro decrittazione. Oltre a eseguire la crittografia sicura, assegna anche il file .cooper estensione ai file interessati. Ad esempio, un file originariamente denominato 1.pdf cambierà in 1.pdf.cooper e perde la sua icona originale. Dopo questa modifica, i file non saranno più utilizzabili, anche se si rimuove l'estensione aggiunta. Per invertire queste modifiche, le istruzioni di decrittazione sono presentate all'interno del file Cooper_Recover.txt file. I criminali informatici sollecitano le vittime a contattarli via e-mail e pagare per un software di decrittazione unico. Gli autori delle minacce sono le uniche figure che vi hanno accesso e si dice che nessun altro strumento sia in grado di fornire la decrittazione dei file .cooper cifrati. Durante il contatto, alle vittime viene anche chiesto di includere l'ID nella riga dell'oggetto di un messaggio di posta elettronica. Sfortunatamente, a meno che tu non disponga di un backup disponibile che può essere utilizzato per recuperare copie di file crittografati, pagare il riscatto ai criminali informatici potrebbe essere l'unico modo per restituire i tuoi file. Molteplici infezioni da ransomware utilizzano potenti algoritmi di crittografia e generano chiavi online, garantendo che la decrittazione sia appena possibile senza l'aiuto degli sviluppatori iniziali.

Coza è un nuovo esempio di ransomware sviluppato dal famigerato gruppo di estorsori STOP/Djvu. Come molte altre varianti pubblicate da questi criminali informatici, anche questa utilizza un modello di crittografia ed estorsione quasi identico. Dopo essersi sistemato su una macchina infetta, il virus avvia la scansione e quindi la crittografia di dati potenzialmente importanti. In tal modo, il virus mira a creare maggiori incentivi affinché le vittime paghino per la decrittazione proposta dagli aggressori. Oltre alla crittografia, il malware si assicura anche che le vittime possano distinguere i file bloccati da quelli non bloccati, semplicemente assegnando l'estensione .coza estensione. Ad esempio, un file precedentemente denominato 1.xlsx cambierà in 1.xlsx.coza, 1.pdf a 1.pdf.coza e così via con altri tipi di file mirati. Per annullare la crittografia, si dice che le vittime seguano le istruzioni all'interno del file _readme.txt nota di testo.

Pwpdvl è un virus ransomware progettato per estorcere denaro alle vittime eseguendo la crittografia dei dati. In altre parole, le persone colpite da questo malware non saranno più in grado di accedere e visualizzare i propri file. Quando Pwpdvl cifra file potenzialmente importanti, assegna anche l'ID della vittima, insieme al .pwpdvl estensione alla fine. Ad esempio, un file come 1.pdf cambierà in qualcosa di simile 1.pdf.[ID-9ECFA84E].pwpdvl e riposa la sua icona originale. Per fare in modo che le vittime paghino denaro per il recupero, il crittografatore di file crea una richiesta di riscatto (RESTORE_FILES_INFO.txt), che contiene le istruzioni per la decrittazione. È richiesto alle vittime di contattare i truffatori (tramite Bitmessage o qTOX) e pagare per la decrittazione in criptovaluta Monero (XMR). Prima di inviare il pagamento, i criminali informatici offrono anche di testare la decrittazione gratuita: le vittime possono inviare 2 file crittografati (non importanti e 1 MB massimo) e ottenerlo sbloccato gratuitamente. Questa è una sorta di garanzia che gli estorsori offrono per dimostrare le loro capacità di decrittazione e dare maggiore sicurezza per il pagamento del riscatto. Tuttavia, tieni presente che fidarsi dei criminali informatici è sempre un rischio. Alcuni utenti vengono ingannati e non ricevono gli strumenti/le chiavi di decrittazione promessi indipendentemente dal soddisfare le richieste. Nonostante ciò, purtroppo sono solo gli sviluppatori di ransomware a detenere le chiavi di decrittazione necessarie per ripristinare in modo sicuro l'accesso ai dati. La decrittazione indipendente utilizzando strumenti di terze parti o copie shadow di Windows può essere possibile, ma in casi molto rari quando il ransomware contiene difetti o non è riuscito a crittografare i dati come previsto.