I virus

Il numero di query relative a nuove attività ransomware cresce ogni giorno con nuove infezioni. Questa volta, gli utenti hanno a che fare Tycx Ransomware, che è un pezzo nuovo e pericoloso sviluppato da Djvu/STOP famiglia. Questa particolare versione ha iniziato a infettare i computer nella seconda metà di marzo 2023. La sua recente attività ha crittografato molti dati personali con potenti algoritmi. Nonostante Tycx Ransomware non sia stato ancora completamente ispezionato, ci sono alcune cose che sono già chiare. Ad esempio, il virus riconfigura vari tipi di dati (immagini, documenti, database, ecc.) modificando le estensioni originali in .tycx. Ciò significa che tutti i tipi di dati salveranno il nome iniziale, ma cambieranno l'estensione principale in qualcosa di simile "1.pdf.tycx". Una volta terminato il processo di crittografia, non sarai più in grado di accedere ai tuoi dati. Per riconquistarlo, gli estorsori hanno sceneggiato la creazione di note identiche rilasciate in cartelle crittografate o su un desktop. Il nome della nota è solitamente _readme.txt, che contiene istruzioni dettagliate su come recuperare i dati.

Tywd Ransomware (l'ultima versione di STOP or Djvu Ransomware) è estremamente dannoso e uno dei virus di crittografia più attivi. Più della metà degli invii di ransomware a ID-Ransomware (servizio di identificazione ransomware) sono effettuati da vittime di STOP Ransomware. Sebbene sia in circolazione da un paio d'anni, il numero di infezioni causate da Tywd Ransomware continua ad aumentare. Può sembrare un po' ironico, ma la maggior parte delle vittime (al momento) sono utenti di software piratato. La versione del virus, oggi allo studio, aggiunge .tywd estensione ai file. Il programma dannoso crea anche un file di testo (chiamato _readme.txt) in ogni cartella infetta, che spiega all'utente che il suo computer è infetto e che non sarà in grado di accedere ai suoi dati fino a quando non avrà pagato un riscatto di $ 980. Se l'utente paga entro 72 ore dall'infezione, il riscatto viene ridotto a 490 dollari USA. L'esempio di questa richiesta di riscatto è presentato di seguito.

Darj Ransomware è un virus di crittografia e un ricattatore prevalente, che prende di mira preziosi file personali. Appartiene a STOP/Djvu gruppo malware. Dopo l'infezione e la codifica dei dati, gli hacker iniziano a estorcere il riscatto. Ci sono state più di 600 versioni del ransomware, ogni versione viene leggermente modificata per aggirare la protezione, ma le impronte principali rimangono le stesse. Il malware utilizza AES-256 in modalità CFB. Poco dopo il lancio, l'eseguibile del crittografo della famiglia STOP si connette a C&C, recupera la chiave di crittografia e l'ID dell'infezione per il PC della vittima. I dati vengono trasmessi su semplice HTTP sotto forma di JSON. Se C&C non è disponibile (il PC non è connesso a Internet, il server stesso non funziona), il crittografo utilizza la chiave e l'ID codificati al suo interno ed esegue la crittografia offline. In questo caso, puoi decrittografare i file senza pagare un riscatto. Le variazioni di STOP Ransomware possono essere distinte l'una dall'altra dalle note di riscatto e dalle estensioni che aggiunge ai file crittografati. Per STOP Ransomware oggetto di ricerca oggi, l'estensione è: .darj. Il file della richiesta di riscatto _readme.txt è presentato di seguito nella casella di testo e nell'immagine. Nell'articolo seguente spieghiamo come rimuovere completamente Darj Ransomware e come decrittografare o ripristinare i file .darj.

Basn è un'infezione ransomware che prende di mira varie aziende. Al momento dell'infiltrazione, esegue rapidamente la scansione del sistema alla ricerca di file potenzialmente importanti (ad es. Documenti, database, video, immagini, ecc.) e ne crittografa l'accesso. Durante questo processo, il virus assegna anche il proprio .basn estensione per evidenziare i dati bloccati. Ad esempio, un file originariamente denominato 1.xlsx cambierà in 1.xlsx.basn e reimposta la sua icona su vuota. Dopo aver eseguito correttamente la crittografia, il crittografatore di file rilascia anche un file di testo denominato unlock your files.txt con le istruzioni di decrittazione all'interno. All'interno della nota viene chiarito che i dati della vittima sono stati crittografati ed estratti sui server dei criminali informatici. Per sbloccare i dati crittografati e impedire la fuga di dati verso risorse/cifre losche, gli estorsori chiedono alle vittime di pagare un riscatto in Bitcoin o criptovaluta Monero. Il prezzo non è divulgato nella nota in quanto è probabile che vari a seconda della quantità e del valore dei dati crittografati. Sfortunatamente, a meno che il virus non abbia gravi vulnerabilità che potrebbero essere sfruttate, i criminali informatici sono solitamente le uniche figure in grado di decrittografare l'accesso ai dati in modo completo e sicuro. Per ora, nessuna terza parte è in grado di aggirare la crittografia applicata da Basn Ransomware. Le uniche opzioni disponibili per il ripristino dei dati sono collaborare con gli sviluppatori di ransomware o ottenere dati da copie di backup esistenti. I backup sono copie di dati archiviati su dispositivi esterni come unità USB, dischi rigidi esterni o SSD. L'unico aspetto negativo dell'autoripristino è che gli attori delle minacce possono effettivamente pubblicare i dati raccolti e quindi danneggiare la reputazione di alcune aziende se effettivamente intendono farlo.

Dazx Ransomware è una versione di STOP/Djvu famiglia di ransomware. È un tipo di malware che crittografa i file sul computer di una vittima e richiede un riscatto in cambio della chiave di decrittazione. Quando Dazx Ransomware infetta un computer, crittograferà i file della vittima utilizzando un potente algoritmo di crittografia, rendendoli inaccessibili alla vittima. Il malware utilizza un algoritmo di crittografia simmetrica per crittografare i file della vittima. Nello specifico, utilizza il cifrario a flusso Salsa20 per crittografare i dati. La chiave di crittografia viene generata in modo casuale per ogni vittima ed è memorizzata sul server dell'aggressore. I file crittografati avranno una nuova estensione aggiunta ai loro nomi di file, ad esempio .dazx. Il Dazx Ransomware crea anche un file di richiesta di riscatto chiamato _readme.txt in ogni cartella che contiene file crittografati. Questo file contiene le istruzioni su come pagare il riscatto per ricevere la chiave di decrittazione. La richiesta di riscatto avverte inoltre la vittima di non tentare di decrittografare i file utilizzando software di terze parti, poiché ciò può comportare la perdita permanente dei dati.

Code è il nome di una nuova variante di ransomware che infetta le organizzazioni per eseguire la crittografia dei dati ed estorcere denaro in cambio della chiave di decrittazione. Durante la crittografia, aggiunge il file .code estensione e crea una nota di riscatto (chiamata !!!HOW_TO_DECRYPT!!!.txt) con le istruzioni su come decrittografare i dati bloccati. Ecco come apparirebbe un file infetto dopo la crittografia: 1.pdf.code, 2.png.codee così via con altri tipi di file presi di mira dal virus. Nella nota, i criminali informatici cercano di convincere le vittime a pagare il riscatto per la decrittazione. Si dice che le vittime debbano installare il messenger TOX e scrivere agli estorsori utilizzando l'ID TOX fornito. A meno che le vittime non soddisfino queste richieste e si rifiutino di acquistare la decrittazione, gli attori delle minacce minacciano di iniziare a condividere in modo casuale i dati crittografati con altre parti o di farli trapelare/vendere sul dark web e altre risorse losche.

Dapo Ransomware è una variante di STOP/Djvu Ransomware, che è un tipo di malware che crittografa i file sul computer di una vittima e richiede un pagamento di riscatto in cambio di una chiave di decrittazione per ripristinare i file. Durante la crittografia questo malware modifica le estensioni dei file in .dapo. Al termine del processo di crittografia, il ransomware rilascia una nota di riscatto sul desktop della vittima e in ogni cartella che contiene file crittografati. La nota contiene le istruzioni su come pagare il riscatto per ricevere la chiave di decrittazione. Gli aggressori di solito richiedono il pagamento in criptovaluta, come Bitcoin. È importante notare che non vi è alcuna garanzia che il pagamento del riscatto comporterà la decrittazione dei file. In alcuni casi, le vittime hanno pagato il riscatto ma non hanno mai ricevuto la chiave di decrittazione, mentre in altri casi la chiave di decrittazione fornita dagli aggressori si è rivelata inefficace. Il nome del file della nota di riscatto utilizzato da Dapo Ransomware segue la stessa convenzione di denominazione. Il file è denominato _readme.txt. La nota di riscatto contiene le istruzioni su come pagare il riscatto per ricevere la chiave di decrittazione e in genere include un indirizzo e-mail che la vittima può utilizzare per comunicare con gli aggressori.

Qarj è una nuova variante di ransomware sviluppata e pubblicata da un modello di famigerato STOP/Djvu famiglia. Questa particolare variante è stata rilasciata nel marzo 2023. Essendo un virus di crittografia dei file, blocca l'accesso ai dati personali utilizzando algoritmi di crittografia sicuri. Ciò significa che i file archiviati su un PC non verranno più aperti dagli utenti fino a quando non verranno decifrati. Attualmente, ci sono poche possibilità per la decrittazione dei file crittografati da Qarj. Solo l'1-2% dei casi è decifrabile, quando vengono soddisfatte determinate condizioni. Usa tutte le istruzioni in questa pagina fino a quando non avrai ripristinato alcuni dati. Per dimostrare che tutti i file sono stati bloccati, gli sviluppatori aggiungono il nuovo file .qarj estensione a ciascuno dei file. Ad esempio, un campione di file come 1.pdf cambierà in 1.pdf.qarj e reimpostare la sua icona alla fine. Al termine di questa parte della crittografia, il virus crea una nota di testo (_readme.txt) con istruzioni per il riscatto.