I virus

Qazx Ransomware si chiama così, a causa di .qazx estensione, aggiunto ai file interessati, modificando le estensioni originali di vari tipi di dati sensibili. Questa versione è apparsa a metà marzo 2023. In effetti, tecnicamente lo è STOP Ransomware, che utilizza algoritmi di crittografia AES per crittografare i file dell'utente. Questo suffisso è una delle centinaia di estensioni diverse utilizzate da questo malware. Significa che hai perso i tuoi dati preziosi? Non necessariamente. Esistono alcuni metodi che ti consentono di recuperare i tuoi file completamente o parzialmente. Inoltre, c'è un'utilità di decrittazione gratuita chiamata STOP Djvu Decryptor da EmsiSoft, che viene costantemente aggiornato ed è in grado di decifrare centinaia di tipi di questo virus. Dopo aver terminato la sua disastrosa attività, Qazx Ransomware crea _readme.txt file (nota di riscatto), in cui informa gli utenti sul fatto della crittografia, sull'importo del riscatto e sulle condizioni di pagamento.

Se non riesci ad aprire i tuoi file, e loro hanno .craa estensione aggiunta alla fine dei nomi dei file, significa che il tuo PC è stato infettato da Craa Ransomware, la parte di STOP/Djvu Ransomware famiglia. Questo malware tormenta le sue vittime dal 2017 ed è già diventato il virus di tipo ransomware più diffuso della storia. Infetta migliaia di computer al giorno utilizzando vari metodi di distribuzione. Utilizza una complessa combinazione di algoritmi di crittografia simmetrica o asimmetrica, rimuove i punti di ripristino di Windows, le versioni precedenti dei file di Windows, le copie shadow e sostanzialmente lascia solo 3 possibilità di ripristino. Il primo è pagare il riscatto, tuttavia, non c'è assolutamente alcuna garanzia che i malfattori rimandino indietro la chiave di decrittazione. La seconda possibilità è molto improbabile, ma vale la pena provare, utilizzando uno speciale strumento di decrittazione di Emsisoft, chiamato STOP Djvu Decryptor. Funziona solo in una serie di condizioni, che descriviamo nel prossimo paragrafo. Il terzo utilizza programmi di recupero file, che spesso fungono da soluzione per i problemi di infezione da ransomware. Osserviamo il file della richiesta di riscatto (_readme.txt), che il virus colloca sul desktop e nelle cartelle con i file crittografati.

Esxi (ESXiArgs) Ransomware è un'infezione dannosa che prende di mira le organizzazioni sfruttando le vulnerabilità in VMware ESXi - una macchina virtuale utilizzata per la gestione e l'ottimizzazione di vari processi all'interno delle organizzazioni. I rapporti sulla sicurezza indicano che i criminali informatici sfruttano le vulnerabilità note in VMware ESXi per ottenere l'accesso ai server e distribuire il ransomware ESXiArgs sul sistema preso di mira. Al termine, il virus inizierà a cercare di crittografare i file che si trovano sulla macchina virtuale con le seguenti estensioni: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Per ogni file crittografato, il ransomware creerà anche un file separato con .ESXiArgs or .args estensione con metadati all'interno (probabilmente necessari per la decrittazione futura).

Essere un successore di Djvu Ransomware, Coba è un virus di tipo ransomware che prende di mira i dati personali. Proprio come altri malware di questo tipo, Coba esegue la crittografia dei dati per richiedere un riscatto monetario alle vittime. Tutti i file attaccati da Coba (comprese immagini, database, documenti, ecc.) saranno limitati dall'accesso e alterati anche visivamente. Ad esempio, un file come 1.pdf cambierà il suo aspetto in 1.pdf.coba alla fine della crittografia. Gli sviluppatori di questa variante di ransomware applicano il .coba estensione a ciascuno dei file di destinazione archiviati su un sistema. La prossima cosa che fa dopo aver manipolato le estensioni dei dati crea una richiesta di riscatto (_readme.txt) che contiene le istruzioni di decrittazione. Una volta che gli utenti lo apriranno, verrà loro presentato un testo scritto da criminali informatici. Questo testo fornisce informazioni su come restituire i dati crittografati.

SkullLocker è una nuova variante del ransomware. La ricerca indica che è stato sviluppato sulla base di Chaos Ransomware, un'altra infezione devastante e ben nota. In caso di infiltrazione riuscita, SkullLocker crittografa l'accesso ai file, aggiunge il proprio .skull estensione e crea una richiesta di riscatto (read_it.txt) con istruzioni di decrittazione scritte in lingua polacca. Ecco un testo completo presentato nella nota insieme alla sua traduzione in inglese. Nel complesso, i criminali informatici richiedono agli utenti di effettuare un pagamento entro 72 ore, altrimenti i dati andranno persi definitivamente. Gli utenti sono invitati a familiarizzare con i dettagli di pagamento e recupero tramite il collegamento TOR allegato. Inoltre, la nota sconsiglia di provare a recuperare i file manualmente poiché ciò potrebbe causare danni permanenti ai file.

Coaq Ransomware è il sottotipo di STOP Ransomware (o DJVU Ransomware) e presenta tutte le caratteristiche di questa famiglia di virus. Il malware blocca l'accesso ai dati sui computer della vittima crittografandoli con l'algoritmo di crittografia AES. STOP Ransomware è uno dei ransomware più longevi. Le prime infezioni sono state registrate nel dicembre 2017. Coaq Ransomware con tale suffisso è ancora un'altra generazione e aggiunge .coaq estensioni ai file crittografati. Dopo la crittografia, il malware crea un file di richiesta di riscatto: _readme.txt sul desktop e nelle cartelle con file codificati. In questo file, gli hacker forniscono informazioni sulla decrittazione e sui dettagli di contatto, come le e-mail: support@freshmail.top ed datarestorehelp@airmail.cc.

Nuove istanze di STOP Ransomware (DjVu Ransomware) continuano a danneggiare i file degli utenti in tutto il mondo. STOP/Djvu Ransomware è un tipo specifico di ransomware attivo dal 2017. È un tipo di malware di crittografia dei file che crittografa i file delle vittime e richiede il pagamento in cambio della chiave di decrittazione. Questo cripto-virus utilizza un complesso algoritmo di crittografia AES per bloccare l'accesso degli utenti ai propri dati ed estorcere un riscatto di $ 490 o $ 980. Una delle nuove varianti di estensione, apparsa nell'ottobre 2022, è: .cosw. Il ransomware corrispondente ha preso il nome Cosw Ransomware. Il virus aggiunge tali suffissi alla fine dei file crittografati. Se i tuoi file hanno una tale fine e non sono accessibili, significa che il tuo PC è stato infettato da STOP Ransomware. Gli sviluppatori di malware modificano leggermente il virus tecnicamente.

Goba Ransomware, che in realtà è la prossima generazione di STOP Ransomware apparso all'inizio di marzo 2023. Questo virus crittografa i file essenziali degli utenti, come documenti, foto, database, musica con crittografia AES e aggiunge .goba estensioni ai file interessati. Questo ransomware è quasi identico a numerose versioni precedenti del malware, che abbiamo descritto in precedenza, appartiene agli stessi autori e utilizza gli stessi indirizzi e-mail (support@freshmail.top ed datarestorehelp@airmail.cc) e gli stessi portafogli Bitcoin. La decrittazione completa è quasi impossibile, tuttavia, i tuoi dati possono essere parzialmente ripristinati utilizzando le istruzioni in questo articolo. Dopo che il virus finisce, crea _readme.txt file con la richiesta di riscatto sul desktop e nelle cartelle con i file interessati.