I virus

Se ti chiedi perché non riesci ad accedere ai tuoi dati, potrebbe essere perché Mkp Ransomware, Baseus Ransomware or Harmagedon Ransomware ha attaccato il tuo sistema. Questi criptatori di file appartengono al gruppo ransomware Makop, che ha prodotto una serie di infezioni simili tra cui Mammon, Tomas, Oled e altro. Durante la crittografia di tutti i dati importanti archiviati su un PC, questa versione di Makop assegna l'ID univoco delle vittime, l'indirizzo e-mail dei criminali informatici e il nuovo .mkp, .baseus or .harmagedon estensioni per evidenziare i file bloccati. Ad esempio, 1.pdf, che in precedenza era sicuro, cambierà il suo nome in qualcosa del genere 1.pdf.[10FG67KL].[icq-is-firefox20@ctemplar.com].mkp, 1.pdf.[7C94BE12].[baseus0906@goat.si].baseus or 1.pdf.[90YMH67R].[harmagedon0707@airmail.cc].harmagedon alla fine della crittografia. Subito dopo che tutti i file sono stati rinominati con successo, il virus va avanti e crea un file di testo (readme-warning.txt) con istruzioni per il riscatto.

Pay2Decrypt è un virus di tipo ransomware che crittografa i dati personali e ricatta le vittime facendole pagare il cosiddetto riscatto. Un riscatto è solitamente una certa quantità di denaro che i criminali informatici richiedono agli utenti per la decrittazione dei file. Ogni file crittografato dal virus apparirà con l'estensione .PAY2DECRYPT estensione e una serie di caratteri casuali. Per illustrare, un campione originariamente chiamato 1.pdf sarà cambiato in 1.pdf.PAY2DECRYPTRLD0f5fRliZtqKrFctuRgH2 resettando anche la sua icona. Dopodiché, gli utenti non saranno più in grado di aprire e visualizzare il file crittografato. Immediatamente dopo la corretta crittografia, il riscatto crea centinaia di file di testo con contenuto identico - Pay2Decrypt1.txt, Pay2Decrypt2.txt, e così via fino a Pay2Decrypt100.txt.

Sojusz è il nome di un'infezione ransomware. Appartiene al Makop Ransomware famiglia che progetta una serie di cifratori di file diversi. Sojusz blocca l'accesso ai dati e richiede denaro per la loro decrittazione. La ricerca ha mostrato che mette in evidenza i file crittografati assegnando una stringa casuale di caratteri, ustedesfil@safeswiss.com indirizzo e-mail e il .sojusz estensione. Le ultime versioni di Sojusz utilizzavano le seguenti estensioni: .bec, .nigra, .likeoldboobs, .[Billy Herrington].Gachimuchi, Questo significa un file come 1.pdf sarà cambiato in 1.pdf.[fd4702551a].[ustedesfil@safeswiss.com].sojusz e diventare non più accessibile. Dopo che tutti i file di destinazione vengono crittografati in questo modo, il virus crea un file di testo chiamato -----README_WARNING-----.txt (versioni successive create anche: !!!HOW_TO_DECRYPT!!!.txt, Horse.txt, README_WARNING_.txt ed #HOW_TO_DECRYPT#.txt note di riscatto).

Di recente, gli hacker hanno scoperto una nuova vulnerabilità di Windows per favorire la penetrazione dei sistemi con malware. L'exploit è intrinsecamente correlato a MSDT (Microsoft Support Diagnostic Tool) e consente ai criminali informatici di eseguire varie azioni distribuendo comandi tramite la console di PowerShell. Si chiamava quindi Follina e gli fu assegnato questo codice tracker CVE-2022-30190. Secondo alcuni rinomati esperti che hanno studiato questo problema, l'exploit finisce con successo una volta che gli utenti aprono file Word dannosi. Gli attori delle minacce utilizzano la funzione di modello remoto di Word per richiedere un file HTML da un server Web remoto. In seguito, gli aggressori ottengono l'accesso all'esecuzione dei comandi di PowerShell per installare malware, manipolare i dati archiviati nel sistema ed eseguire altre azioni dannose. L'exploit è anche immune a qualsiasi protezione antivirus, ignorando tutti i protocolli di sicurezza e consentendo alle infezioni di intrufolarsi inosservate. Microsoft lavora sulla soluzione di exploit e promette di implementare un aggiornamento della correzione il prima possibile. Ti consigliamo quindi di controllare costantemente il tuo sistema per nuovi aggiornamenti ed eventualmente installarli. Prima di ciò, possiamo guidarti attraverso il metodo di risoluzione ufficiale suggerito da Microsoft. Il metodo consiste nel disabilitare il protocollo URL MSDT, che impedirà lo sfruttamento di ulteriori rischi fino alla visualizzazione di un aggiornamento.

Spesso scambiati per un virus separato, i messaggi che inviano spam agli eventi di Google Calendar sono in realtà correlati a un'app dannosa/indesiderata che potrebbe essere in esecuzione sul tuo dispositivo Android. Molte vittime si lamentano del fatto che i messaggi di solito compaiono su tutto il calendario e tentano di convincere gli utenti a fare clic su collegamenti ingannevoli. È probabile che, dopo l'installazione di un'applicazione indesiderata, gli utenti che hanno ricevuto spam al momento abbiano concesso l'accesso a determinate funzionalità, comprese le autorizzazioni per modificare gli eventi di Google Calendar. I collegamenti possono quindi portare a siti Web esterni progettati per installare malware e altri tipi di infezioni. In effetti, qualsiasi informazione rivendicata da loro ("rilevato virus grave"; "avviso virus"; "cancella il tuo dispositivo", ecc.) è molto probabilmente falsa e non ha nulla a che fare con la realtà. Per risolvere questo problema ed evitare che il tuo calendario sia ingombro di tali messaggi di spam, è importante trovare e rimuovere un'applicazione che causa il problema e ripristinare il calendario per ripulire gli eventi indesiderati.

Conosciuto anche come R.Ransomware, Rozbeh è un'infezione ransomware che crittografa i dati archiviati nel sistema per ricattare le vittime facendole pagare denaro per il loro recupero. Durante la crittografia, evidenzia i dati bloccati assegnando caratteri casuali costituiti da quattro simboli. Ad esempio, un file come 1.pdf potrebbe cambiare in 1.pdf.1ytu, 1.png a 1.png.7ufr, e così via. A seconda della versione di Rozbeh Ransomware che ha effettuato un attacco al tuo sistema, le istruzioni che spiegano come recuperare i dati possono essere presentate all'interno delle note di testo read_it.txt, readme.txto anche in una finestra pop-up separata. Vale anche la pena notare che viene chiamata l'infezione da riscatto più recente sviluppata dai truffatori di Rozbeh Quax0r. A differenza di altre versioni, non rinomina i dati crittografati e visualizza anche le linee guida per la decrittografia nel prompt dei comandi. In generale, tutte le richieste di riscatto sopra menzionate contengono schemi identici per guidare le vittime a pagare il riscatto: contattare i creatori di malware tramite Discord o, in alcuni casi, tramite e-mail e inviare 1 Bitcoin (circa $ 29,000 ora) all'indirizzo crittografico dei criminali informatici . Dopo che il pagamento è stato effettuato, gli estorsionisti promettono di inviare un decodificatore di file insieme alla chiave necessaria per sbloccare i dati crittografati. Sfortunatamente, nella maggior parte dei casi, i metodi di crittografia utilizzati dai criminali informatici per rendere i file inaccessibili sono complessi, rendendo quasi impossibile la decrittazione manuale. Puoi provarlo utilizzando alcuni strumenti di terze parti nel nostro tutorial di seguito, tuttavia, non siamo in grado di garantire che funzionino effettivamente.

ZareuS è il nome di un'infezione ransomware che crittografa i file ed estorce un importo in criptovalute dalle vittime. Durante la crittografia, il virus altera l'aspetto del file utilizzando l'estensione .ZareuS estensione. In altre parole, se un file piace 1.pdf finisce colpito dall'infezione, verrà cambiato in 1.pdf.ZareuS e ripristina anche la sua icona originale. Successivamente, per guidare le vittime attraverso il processo di decrittazione, i criminali informatici creano un file di testo chiamato HELP_DECRYPT_YOUR_FILES.txt in ogni cartella con dati non più accessibili. Dice che la crittografia è avvenuta con l'uso di potenti algoritmi RSA. Le vittime sono quindi invitate ad acquistare una speciale chiave di decrittazione, che costa 980$ e l'importo deve essere inviato all'indirizzo crittografico dei criminali informatici. Dopo averlo fatto, le vittime devono notificare il pagamento completato scrivendo a lock-ransom@protonmail.com (indirizzo e-mail fornito dagli aggressori). Come misura aggiuntiva per incentivare le vittime a pagare il riscatto, gli estorsionisti propongono di decrittare 1 file gratuitamente. Le vittime possono farlo e ricevere un file completamente sbloccato per confermare che la decrittazione funziona davvero. È un peccato dirlo, ma i file crittografati da ZareuS Ransomware sono quasi impossibili da decifrare senza l'aiuto dei criminali informatici. Potrebbe essere solo se il ransomware è buggato, contiene difetti o altri inconvenienti che alleviano la decrittazione di terze parti. Un metodo migliore e garantito per recuperare i dati è recuperarli utilizzando copie di backup. Se sono disponibili su una memoria esterna non infetta, puoi facilmente sostituire i tuoi file crittografati con essi.

LokiLok è il nome di un'infezione da riscatto. Dopo l'installazione riuscita su un sistema mirato, crittografa file importanti e ricatta le vittime facendole pagare denaro per la loro decrittazione. Abbiamo anche scoperto che LokiLok è stato sviluppato sulla base di un altro virus ransomware chiamato Chaos. Una volta eseguita la crittografia, le vittime possono vedere i loro dati cambiare con il .LokiLok estensione. Per illustrare, un file chiamato 1.pdf la maggior parte cambierà in 1.pdf.LokiLok e ripristina la sua icona originale. Dopo questo, le vittime non saranno più in grado di accedere ai propri dati e dovrebbero cercare le istruzioni di decrittazione nel file read_me.txt file. Il virus sostituisce anche gli sfondi predefiniti con una nuova immagine. I criminali informatici vogliono che le vittime acquistino uno speciale strumento di decrittazione. Per fare ciò, le vittime dovrebbero contattare gli estorsionisti utilizzando l'indirizzo e-mail allegato (tutanota101214@tutanota.com). Prima di acquistare il software necessario, viene anche offerto di inviare 2 piccoli file: i criminali informatici promettono di decrittografarli e rispedirli per dimostrare le capacità di decrittazione. Inoltre, il messaggio indica anche di non tentare di utilizzare metodi di ripristino esterni poiché potrebbe portare alla distruzione irreversibile dei dati. Qualunque siano le garanzie fornite dagli sviluppatori di ransomware, non è sempre consigliabile fidarsi di loro. Molti ingannano le loro vittime e non inviano il software di decrittazione anche dopo aver inviato loro denaro.