I virus

MarioLocker è un software dannoso classificato come ransomware, un tipo di malware che crittografa i file delle vittime, rendendoli inaccessibili. L'obiettivo principale degli aggressori di ransomware è richiedere un riscatto alle vittime, in genere in cambio di una chiave di decrittazione necessaria per sbloccare i file crittografati. MarioLocker Ransomware aggiunge un'estensione univoca ai file crittografati. Rinomina i file aggiungendo l'estensione .wasted estensione seguita da un numero sequenziale, ad esempio .wasted1, .wasted2, e così via. Questa convenzione di ridenominazione funge da chiaro indicatore della presenza del ransomware nel sistema. La richiesta di riscatto è una componente fondamentale della strategia del ransomware, poiché fornisce alle vittime istruzioni su come procedere. MarioLocker crea un file di testo denominato @Readme.txt, che contiene un messaggio di riscatto. Questo file viene generalmente inserito nelle stesse directory dei file crittografati o in una posizione ben visibile come il desktop. La nota indica alle vittime di aprire un file denominato "WastedBitDecryptor" e di seguire i passaggi descritti all'interno. Inoltre, indirizza le vittime a un file chiamato YourFiles.txt situato nella directory "C:\Windows\Temp", che contiene un elenco di file crittografati.

RTM Locker Ransomware, noto anche come Read The Manual Locker, è emerso come una minaccia significativa nel panorama della sicurezza informatica. Questo software dannoso fa parte di un modello Ransomware as a Service (RaaS), in cui agli affiliati viene addebitata una percentuale dei loro profitti per aver utilizzato l'infrastruttura RTM Locker per lanciare i loro attacchi. Questo modello ha facilitato la diffusione di RTM Locker, rendendolo una minaccia prevalente sia per gli individui che per le organizzazioni. Dopo l'infezione, RTM Locker aggiunge un'estensione univoca di 64 caratteri ai nomi dei file di tutti i file crittografati, rendendoli inaccessibili agli utenti. Questa estensione è una combinazione di caratteri casuali, che complica notevolmente l'identificazione e il recupero dei file interessati. Il metodo di crittografia utilizzato da RTM Locker prevede una combinazione di crittografia asimmetrica e simmetrica, rendendo praticamente impossibile decrittografare i file senza la chiave privata dell'aggressore. RTM Locker rilascia una richiesta di riscatto denominata How To Restore Your Files.txt sul desktop della vittima. Questa nota informa le vittime della crittografia e richiede un contatto entro 48 ore per impedire la divulgazione pubblica dei dati crittografati. La nota mette in guardia contro il tentativo di decrittografare i file in modo indipendente, poiché ciò potrebbe portare alla perdita permanente dei dati.

Virus di Apex Legends è una minaccia alla sicurezza informatica che prende di mira i fan del popolare gioco Battle Royale, Apex Legends. Questa minaccia è particolarmente insidiosa perché si maschera da cheat o miglioramenti per il gioco, sfruttando l'entusiasmo dei giocatori che cercano di ottenere un vantaggio nel loro gameplay. Tuttavia, invece di fornire vantaggi reali, infetta i computer degli utenti con malware, portando a potenziali furti di dati e altre attività dannose. La rimozione del virus Apex Legends richiede un approccio approfondito per garantire che tutti i componenti del malware vengano sradicati dal sistema. L'utilizzo di un software antivirus o antispyware affidabile per eseguire una scansione completa del sistema può aiutare a rilevare e rimuovere il RAT e qualsiasi altro componente malware associato. Per gli utenti con competenze IT, la rimozione manuale potrebbe comportare l'identificazione e l'eliminazione di file e voci di registro dannosi, ma questo approccio può essere rischioso e non è consigliato agli utenti inesperti. In alcuni casi, ripristinare il computer a uno stato precedente a prima che si verificasse l'infezione può aiutare a rimuovere il malware, anche se questo metodo potrebbe non essere sempre efficace se il virus si è radicato in profondità nel sistema. Come ultima risorsa, la reinstallazione completa del sistema operativo rimuoverà qualsiasi malware presente, ma cancellerà anche tutti i dati sul computer, quindi dovrebbe essere presa in considerazione solo se tutti gli altri metodi di rimozione falliscono.

JS/Agent Trojan si riferisce a una vasta famiglia di trojan scritti in JavaScript, un popolare linguaggio di scripting ampiamente utilizzato per creare pagine Web dinamiche. Questi script dannosi sono progettati per eseguire una serie di azioni non autorizzate sul computer della vittima, dal furto di dati al download e all'esecuzione di altro malware. A causa dell'uso diffuso di JavaScript nello sviluppo web, i trojan JS/Agent possono facilmente fondersi con contenuti web legittimi, rendendoli particolarmente difficili da rilevare e rimuovere. Il Trojan JS/Agent è un'ampia classificazione per una famiglia di file JavaScript dannosi che rappresentano una minaccia significativa per i sistemi informatici. Questi trojan sono noti per la loro versatilità nel fornire payload, rubare dati e facilitare l'accesso non autorizzato ai sistemi infetti. Comprendere la natura del Trojan JS/Agent, i suoi meccanismi di infezione e le strategie di rimozione efficaci è fondamentale per mantenere la sicurezza informatica. La rimozione di un trojan JS/Agent da un sistema infetto richiede un approccio completo, poiché questi trojan possono scaricare malware aggiuntivo e modificare le impostazioni del sistema per evitare il rilevamento.

Water Ransomware è un tipo di cripto-virus, un software dannoso progettato per crittografare i file sul computer di una vittima e richiedere un riscatto per la loro decrittazione. Appartiene a Phobos famiglia di ransomware. Questa minaccia informatica è particolarmente insidiosa poiché non solo limita l’accesso a dati importanti, ma comporta anche il rischio di perdita permanente di dati e richieste finanziarie. Una volta che un computer è stato infettato, Water Ransomware crittografa i file dell'utente con un sofisticato algoritmo di crittografia e rinomina i file aggiungendo un'estensione univoca. Il nuovo nome del file include l'ID della vittima, l'indirizzo email dell'aggressore e il file .water estensione, contrassegnando di fatto i file come inaccessibili. Ad esempio file 1.txt sarà cambiato in 1.txt.id[random-ID].[aquaman@rambler.ua].water. Il ransomware genera una richiesta di riscatto, che in genere si trova nei file denominati info.hta ed info.txt. Questa nota istruisce le vittime su come contattare gli aggressori per pagare il riscatto. Mette in guardia contro i tentativi di autodecrittazione o l'uso di software di terze parti, avvertendo che tali azioni potrebbero portare a una perdita irreversibile di dati. La nota sconsiglia inoltre di chiedere aiuto a società intermediarie, il che potrebbe portare a un aumento dei riscatti o a schemi fraudolenti.

Glorysprout Stealer è un tipo di malware, in particolare un ladro, che prende di mira un'ampia gamma di informazioni sensibili tra cui portafogli di criptovaluta, credenziali di accesso, numeri di carte di credito e altro ancora. Scritto in C++, è basato sul ladro Taurus fuori produzione, con il sospetto che il codice sorgente di Taurus fosse stato venduto, portando allo sviluppo di Glorysprout. Nonostante i materiali promozionali suggeriscano una varietà di funzionalità, gli analisti della sicurezza informatica hanno notato alcune discrepanze tra le capacità pubblicizzate e quelle osservate. Glorysprout è compatibile con le versioni del sistema operativo Windows dalla 7 alla 11 e supporta diverse architetture di sistema. È commercializzato come software personalizzabile con presunte capacità di rilevamento di macchine virtuali, sebbene questa funzionalità non sia stata confermata dagli analisti. Dopo l'infiltrazione riuscita, Glorysprout raccoglie numerosi dati del dispositivo, inclusi dettagli su CPU, GPU, RAM, dimensioni dello schermo, nome del dispositivo, nome utente, indirizzo IP e geolocalizzazione. Si rivolge a una varietà di software tra cui browser, portafogli crittografici, autenticatori, VPN, FTP, software di streaming, messaggistica, client di posta elettronica e applicazioni relative ai giochi. Dai browser, può estrarre cronologie di navigazione, segnalibri, cookie Internet, compilazioni automatiche, password, numeri di carte di credito e altri dati vulnerabili. Inoltre, può acquisire screenshot. Anche se pubblicizza le capacità di grabber (file stealer) e keylogging (registrazione della sequenza di tasti), queste funzionalità erano assenti nelle versioni conosciute di Glorysprout.

Remcos RAT (Remote Control and Surveillance) è un trojan di accesso remoto che è stato utilizzato attivamente dai criminali informatici sin dalla sua prima apparizione nel 2016. Commercializzato come strumento legittimo per l'amministrazione remota dal suo sviluppatore, Breaking Security, Remcos è stato ampiamente utilizzato per scopi dannosi. Consente agli aggressori di ottenere un accesso backdoor a un sistema infetto, consentendo loro di eseguire una serie di azioni all'insaputa o al consenso dell'utente. Remcos RAT è un malware potente e furtivo che comporta rischi significativi per i sistemi infetti. La sua capacità di eludere il rilevamento e mantenere la persistenza lo rende una minaccia formidabile. Tuttavia, seguendo le migliori pratiche di prevenzione e impiegando un approccio completo alla rimozione, le organizzazioni e gli individui possono mitigare i rischi associati a Remcos e proteggere i propri sistemi dalla compromissione.

Looy Ransomware è un software dannoso che appartiene alla famiglia di ransomware STOP/DJVU, nota per prendere di mira sia singoli utenti che aziende. È progettato per crittografare i file sul computer infetto, rendendoli inaccessibili all'utente, quindi richiede il pagamento di un riscatto in cambio della chiave di decrittazione. Dopo aver crittografato i file, Looy Ransomware aggiunge l'estensione .looy estensione ai nomi dei file, che è un chiaro indicatore dell'infezione. Looy Ransomware utilizza un robusto algoritmo di crittografia per bloccare i file. Sebbene il tipo specifico di crittografia non sia dettagliato nelle fonti fornite, è comune che ransomware come Looy utilizzino AES (Advanced Encryption Standard) o un metodo sicuro simile per crittografare i file. Dopo la crittografia, Looy Ransomware crea una richiesta di riscatto denominata _readme.txt e lo posiziona sul desktop o in cartelle contenenti file crittografati. Questa nota contiene istruzioni per la vittima su come contattare gli aggressori e pagare il riscatto per ricevere potenzialmente la chiave di decrittazione.