I virus

Roghe è un virus ransomware che prende di mira i dati personali delle vittime. Dopo che il malware ha infettato un sistema mirato, avvia la crittografia di file potenzialmente importanti rendendoli inaccessibili fino a quando non viene recuperata una chiave di decrittazione. Durante il processo di crittografia, Roghe Ransomware assegna il file .enc estensione ai file infetti. Ad esempio, un file come 1.pdf si rivolgerà a 1.pdf.enc e così via con altri file interessati. Una volta che tutti i file vengono crittografati, il virus cambia gli sfondi del desktop e forza l'apertura di una finestra pop-up che presenta le linee guida per la decrittazione. Il testo presente sugli sfondi appena assegnati consente agli utenti di sapere che sono stati infettati e li incoraggia a seguire le istruzioni dalla finestra pop-up aperta. Inoltre, presenta anche un codice QR che porta a ulteriori informazioni sul malware. La finestra "Roghe Decryptor" dice che le vittime hanno 15 minuti per recuperare la chiave e incollarla per sbloccare l'accesso ai file, altrimenti i file crittografati verranno eliminati per sempre. Dice anche che entro 20 minuti il ​​sistema operativo sarà inaccessibile, diventando essenzialmente bloccato.

Nuova ondata di STOP Ransomware l'infezione continua Qowd Ransomware, che si aggiunge .qowd estensioni. STOP Ransomware è stato rilevato per la prima volta nel 2018 e da allora si è evoluto in uno dei tipi più diffusi di ransomware. Quelle estensioni ".qowd" vengono aggiunte ai file crittografati alla fine di febbraio 2023. Questo virus complicato utilizza l'algoritmo di crittografia AES per codificare le informazioni importanti degli utenti. Di norma, Qowd Ransomware attacca foto, video e documenti: dati che le persone apprezzano. Gli sviluppatori di malware estorcono il riscatto e promettono di fornire in cambio una chiave di decrittazione. La decrittografia completa dei dati persi è possibile in una minoranza di casi, se è stata utilizzata una chiave di crittografia offline, altrimenti, utilizzare le istruzioni sulla pagina per recuperare i file crittografati. Il ransomware crea anche una richiesta di riscatto (_readme.txt) che informa la vittima dell'attacco e richiede il pagamento in Bitcoin o altre criptovalute in cambio della chiave di decrittazione.

Iotr Ransomware (a volte chiamato STOP Ransomware or DjVu Ransomware) è un virus di crittografia molto diffuso, apparso per la prima volta nel dicembre 2017. Da allora, sono state apportate molte modifiche tecniche e di progettazione e sono cambiate alcune generazioni di malware. Il ransomware utilizza l'algoritmo di crittografia AES-256 (modalità CFB) per codificare i file dell'utente e dopo quest'ultima versione (apparsa alla fine di febbraio 2023) si aggiunge .iotr estensioni. Dopo la crittografia, il virus crea un file di testo _readme.txt, che si chiama "nota di riscatto", in cui gli hacker rivelano l'importo del riscatto, le informazioni di contatto e le istruzioni per pagarlo. STOP Ransomware con estensioni di file .iotr utilizza le seguenti e-mail: support@freshmail.top ed datarestorehelp@airmail.cc, proprio come dozzine dei suoi predecessori.

Kangaroo è un'infezione ransomware rilasciata dagli sviluppatori dietro precedenti crittografi di file, come Apocalypse, Fabiansomware ed Esmeralda. Sebbene questo crittografatore di file circolasse attivamente nel 2021, alcuni utenti potrebbero ancora finire per essere penetrati da esso in questi giorni. Lo scopo del malware all'interno di questa categoria è crittografare dati potenzialmente importanti ed estorcere denaro per la decrittazione alle vittime. La caratteristica che fa risaltare Kangaroo tra le altre comuni infezioni da ransomware è che configura i valori del registro per visualizzare un messaggio di riscatto prima di accedere alla schermata di accesso di Windows. Subito dopo aver effettuato l'accesso al sistema, mostra anche una finta schermata con lo stesso messaggio di riscatto ma questa volta con un campo dedicato per l'inserimento di una password per sbloccarlo. Durante la crittografia, Kangaroo assegna anche il file .crypted_file estensione e crea messaggi di riscatto identici sotto forma di note di testo. Tali note di testo vengono create in aggiunta a ciascun file crittografato e sono denominate in base al nome del file post-crittografia (come qui 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (aka STOP Ransomware or Djvu Ransomware) è un virus estremamente pericoloso che crittografa i file utilizzando l'algoritmo di crittografia AES-256 e aggiunge .ioqa estensioni ai file interessati. L'infezione coinvolge principalmente file importanti e di valore, come foto, documenti, database, e-mail, video, ecc. Ioqa Ransomware non tocca i file di sistema per consentire a Windows di funzionare, quindi gli utenti potranno pagare il riscatto. Se il server del malware non è disponibile (il computer non è connesso a Internet, il server degli hacker remoti non funziona), lo strumento di crittografia utilizza la chiave e l'identificatore codificati al suo interno ed esegue la crittografia offline. In questo caso sarà possibile decifrare i file senza pagare il riscatto. Ioqa Ransomware crea _readme.txt file, che contiene messaggi di riscatto e dettagli di contatto, sul desktop e nelle cartelle con file crittografati. Gli sviluppatori possono essere contattati via e-mail: support@freshmail.top ed datarestorehelp@airmail.cc.

Mikel Ransomware è un'infezione dannosa progettata per crittografare i dati personali ed estorcere denaro per la sua decrittazione. Viene anche identificato come una nuova variante di un altro crittografo di file chiamato Proxima. Durante la crittografia, Mikel Ransomware assegna il file .mikel estensione per evidenziare la modifica. Ad esempio, un file come 1.pdf cambierà in 1.pdf.mikel e ripristinare la sua icona originale. Tieni presente che l'eliminazione dell'estensione assegnata dal file crittografato non restituirà l'accesso ad esso. La crittografia rende i dati bloccati in modo permanente e richiede chiavi di decrittazione per sbloccarli. Dopo che la crittografia è completa, il virus crea il file Mikel_Help.txt nota di testo con le istruzioni relative alla decrittazione.

STOP Ransomware è un sofisticato virus di crittografia, che utilizza l'algoritmo Salsa20 per codificare dati personali sensibili, come foto, video e documenti. L'ultima versione (Iowd Ransomware), apparso a metà febbraio 2023, aggiunge .iowd estensione ai file e li rende illeggibili. Ad oggi, la famiglia comprende circa più di 600 rappresentanti e il numero totale di utenti interessati si avvicina al milione. La maggior parte degli attacchi sono in Europa e Sud America, India e Sud-est asiatico. La minaccia ha colpito anche Stati Uniti, Australia e Sud Africa. Sebbene il virus Iowd sia meno conosciuto di GandCrab, Dharma e altri trojan ransomware, è quest'anno che rappresenta più della metà degli attacchi rilevati. Inoltre, il prossimo partecipante alla valutazione, il già citato Dharma, è in ritardo rispetto a questo indicatore di oltre quattro volte. Un ruolo significativo nella prevalenza di STOP Ransomware è giocato dalla sua diversità: nei periodi più attivi, gli esperti hanno trovato tre o quattro nuove versioni al giorno, ognuna delle quali ha colpito diverse migliaia di vittime.

Crackonosh è il nome di un trojan distribuito furtivamente all'interno di programmi di installazione di software crackati. Al termine dell'installazione, il suo scopo è iniettare il miner XMRIG e iniziare a estrarre la criptovaluta Monero per gli attori delle minacce. A partire da ora, le statistiche mostrano che questo minatore ha aiutato i criminali informatici a estrarre la quantità di Monero del valore di circa due milioni di dollari. Un paio di parole su come il trojan svolge il suo lavoro dannoso: dopo l'avvio del programma di installazione del software crackato, inserisce un programma di installazione e uno script sul sistema di destinazione, che quindi modifica le impostazioni del registro di Windows per disattivare la modalità di ibernazione e attivare Crackonosh in Safe Modalità al successivo avvio del sistema. In questo modo, il trojan disattiva Windows Update e Windows Defender ed è persino in grado di disinstallare programmi antivirus di terze parti (ad es. Avast, Bitdefender, Kaspersky, McAfee e Norton) per ridurre la possibilità di essere rilevato e bloccato. Per nascondere la sua presenza, cancella i file di registro del sistema, serviceinstaller.msi file, e maintenance.vbs file. Di conseguenza, alcuni sistemi infetti potrebbero visualizzare messaggi di errore che indicano problemi con i suddetti file. Inoltre, Crackonosh può anche interrompere i servizi di Windows Update e sostituire l'icona di sicurezza di Windows con un'icona verde finta nella barra delle applicazioni. I sintomi principali che dovrebbero attirare la tua attenzione e farti sospettare che ci sia qualcosa che non va nel tuo sistema sono in genere prestazioni del PC più lente e lente, maggiore utilizzo di CPU/GPU/RAM, surriscaldamento, arresti anomali imprevisti e altri problemi correlati. Pertanto, se è presente uno qualsiasi di questi sintomi, assicurati di leggere la nostra guida di seguito ed eliminare il potenziale trojan di cripto-mining dal tuo computer.