I virus

Kashima (Kashima Ware) è un programma ransomware, il tipo di software dannoso progettato per crittografare i dati e richiedere denaro per il loro ritorno. A differenza di altre infezioni di questo tipo, il virus prende di mira formati di file specifici e piuttosto insoliti - .config, .cfg, .js, .NOOB, .lua, .lwe .tryme anche. Li modifica quindi con il .KASHIMA estensione. Ad esempio, un file come 1.js cambierà in 1.js.KASHIMA, 1.cfg a 1.cfg.KASHIMA e così via con altri dati interessati. Non appena questo processo viene completato, Kashima visualizza un messaggio pop-up (KashimaWare ATTENZIONE!) su tutto lo schermo.

Conosciuto anche come Lama di volpe, Tergicristallo ermetico è un virus devastante progettato per cancellare i dati archiviati nel sistema e impedire alle macchine di rispondere o funzionare completamente. Il malware con tali capacità è generalmente noto come pulitura del disco. HermeticWiper è stato scoperto mentre attaccava enti governativi e strutture aziendali in Ucraina il 24 febbraio. Molti ricercatori ritengono che a HermeticWiper sia stato dato questo nome sulla base di un certificato digitale rubato da una società chiamata Hermetica Digital Ltd. Questo certificato consente al virus di mascherarsi da software legittimo per aggirare il rilevamento di Windows. In caso di infiltrazione riuscita, HermeticWiper corrompe la maggior parte dei dati archiviati ed elimina anche le copie shadow di Windows. Questa funzionalità porta a una perdita permanente di dati che impedisce alle vittime di recuperarli in seguito. Come accennato, HermeticWiper rende i sistemi infetti praticamente inutilizzabili: lo fa interrompendo il Master Boot Record (MBR), un importante settore Windows responsabile del corretto avvio del sistema. Finché HermeticWiper mantiene il controllo sul tuo sistema, può fare quasi tutto ciò che vuole: installare malware aggiuntivo, lanciare attacchi DDoS, registrare sequenze di tasti, audio, video, abusare delle risorse di sistema per estrarre criptovalute, distribuire comandi remoti e molte altre azioni dirompenti. HermeticWiper non è l'unico, ma uno dei pochi virus distribuiti nell'ambito di questa campagna geopolitica sull'Ucraina.

Scusa, sono solo affari è il nome di un virus ransomware. Come altre infezioni di questo tipo, crittografa i dati personali e ricatta le vittime facendole pagare un riscatto. Il processo di crittografia può essere facilmente individuato guardando i file interessati. Sorryitsjustbusiness cambia le loro estensioni originali in caratteri casuali e ripristina le icone in bianco. Per illustrare, un file come 1.pdf potrebbe cambiare in 1.pdf.ws9y, 1.png a 1.png.kqfbe così via con altre estensioni e file casuali. Dopo la corretta crittografia, il virus crea una nota di testo chiamata read_it.txt e installa nuovi sfondi per il desktop. Sia la nota di testo che gli sfondi mostrano informazioni su come recuperare i dati. Si dice che le vittime debbano acquistare una chiave esclusiva per decrittografare i loro file. Il costo di questa chiave è di ben 150,000 $ da pagare in Bitcoin all'indirizzo crittografico allegato. Dopo che il trasferimento è stato effettuato, le vittime dovrebbero informare i truffatori inviando un messaggio al loro indirizzo e-mail (scusatesolobusiness@protonmail.com). Se le vittime non riescono a farlo entro 24 ore dall'infezione, il prezzo per la decrittazione raddoppierà. Si dice anche che i file crittografati verranno eliminati dopo 48 ore di inattività delle vittime. Sulla base dell'importo del riscatto richiesto, possiamo quindi presumere che l'obiettivo di Sorryitsjustbusiness sia puntato su aziende con un buon livello di guadagni. Di norma, non è consigliabile fidarsi dei criminali informatici e pagare il riscatto che vogliono.

Essere parte di polvere famiglia, ARMADIO ANUBIZ è un'infezione ransomware progettata per crittografare i dati. Lo fa utilizzando algoritmi di crittografia sicura e modificando i nomi dei dati interessati con .lomer estensione. Per illustrare, un file chiamato 1.pdf cambierà in 1.pdf.lomer e reimposta la sua icona originale su vuota. Dopo aver limitato con successo l'accesso ai dati, il virus ricatta le vittime facendole pagare un riscatto. Questo è fatto attraverso il How To Restore Your Files.txt file di testo che viene creato su dispositivi compromessi. Il file dice che tutti i file importanti sono stati crittografati e copiati sui server dei criminali informatici, anche tutti i backup sono stati eliminati. Le vittime possono potenzialmente ripristinare i propri dati acquistando uno speciale software di decrittazione offerto dagli aggressori. Viene guidato a stabilire un contatto con i criminali informatici utilizzando il loro indirizzo e-mail per ottenere ulteriori dettagli sulla decrittazione. Gli utenti infetti possono anche allegare un file al proprio messaggio e farlo decodificare gratuitamente. Se le vittime ignorano queste richieste e si attardano a pagare il riscatto, i criminali informatici minacciano di iniziare a divulgare i file raccolti alle risorse del dark web.

Qmam4 è un'infezione ad alto rischio classificata come criptovirus. Il motivo per cui è chiamato in questo modo risiede nel suo comportamento dopo l'attacco: il virus richiede alle vittime di pagare una somma di denaro in criptovaluta per bloccare l'accesso ai dati. Tali infezioni sono anche conosciute come ransomware. Crittografano i dati personali e ricattano le vittime affinché paghino il riscatto. Durante la crittografia, Qmam4 allega una stringa di caratteri casuali e il nuovo .qmam4 estensione a ciascun file interessato. Per esempio, 1.pdf cambierà in 1.pdf.{random sequence}.qmam4 diventando non più accessibile. Successivamente, Qmam4 crea un file di testo chiamato C3QW_HOW_TO_DECRYPT.txt che illustra come le vittime possono sbloccare i propri dati. Si dice che le vittime possano decrittografare e impedire che dati importanti vengano venduti su risorse del dark web. Per fare ciò, alle vittime viene chiesto di contattare i criminali informatici utilizzando il collegamento Tor. Dopo aver contattato gli sviluppatori, presumibilmente ti diranno di inviare denaro in criptovaluta e di recuperare uno speciale strumento di decrittazione in seguito. Se le vittime si rifiutano di seguire le istruzioni, i dati raccolti verranno divulgati nelle mani di figure di terze parti. Sfortunatamente, la collaborazione con i criminali informatici potrebbe essere l'unico modo per decrittografare i tuoi dati ed evitare i dati esfiltrati pubblicamente. È meno probabile che alcuni strumenti di terze parti siano in grado di decrittografare i tuoi dati gratuitamente senza l'aiuto di aggressori.

ALBA è un virus di tipo ransomware progettato per crittografare i dati archiviati nel sistema e ricattare le vittime facendole pagare denaro per il loro ritorno. Durante la crittografia, tutti i file acquisiscono il nuovo .ALBASA estensione e reimpostare le icone originali su vuote. Questo è anche accompagnato dalla creazione di RESTORE_FILES_INFO.txt - una nota di testo contenente le istruzioni su come recuperare i dati bloccati.

Cantoper è un'infezione ransomware che è stata scoperta abbastanza di recente. Crittografa i file personali aggiungendo il file .canto aperto estensione e creazione del HELP_DECRYPT_YOUR_FILES.txt file di testo per ricattare le vittime affinché paghino il riscatto. Per illustrare, un file chiamato 1.pdf sarà modificato in 1.pdf.cantopen e rilascia la sua icona di collegamento originale. Tale modifica verrà applicata a tutti i dati di destinazione rendendoli non più accessibili.

Nero è il nome di un'infezione ransomware scoperta abbastanza di recente. È stato sviluppato per eseguire la crittografia dei dati e ricattare le vittime facendole pagare denaro per il suo ritorno. Le vittime possono individuare la decrittazione riuscita semplicemente guardando i loro file: la maggior parte di essi verrà modificata utilizzando il .black estensione e perdere le icone originali. Per fare un esempio, 1.pdf sarà modificato in 1.pdf.black, 1.png a 1.png.blacke così via con il resto dei file di destinazione. Quindi, non appena questa parte della crittografia viene completata, il virus presenta le istruzioni di decrittazione all'interno di una nota di testo (read_me.txt).