I virus

Originario dell'Italia, Giuliano è un programma di tipo ransomware configurato con algoritmi crittografici avanzati (AES-256) per eseguire la crittografia sicura dei dati. Dopo aver bloccato l'accesso ai file personali, gli estorsionisti cercano di ingannare le vittime facendole pagare per la decrittazione dei dati. Le vittime possono rilevare che i loro file sono stati crittografati semplicemente guardando l'estensione: il virus aggiunge la nuova estensione ".Giuliano" per evidenziare i dati bloccati. Questo significa un file come 1.pdf cambierà in 1.pdf.Giuliano e ripristina la sua icona originale. Le informazioni sul recupero dei file possono essere trovate all'interno di una nota di testo chiamata README.txt. Le istruzioni di decrittazione all'interno di questo file sono rappresentate in lingua italiana. I criminali informatici informano le vittime dell'infezione riuscita e le incoraggiano a seguire le istruzioni elencate. Dicono che dovresti visitare una pagina GitHub per compilare alcuni moduli. Dopo questo, è probabile che gli sviluppatori di malware si mettano in contatto con le loro vittime e chiedano di pagare un riscatto in denaro. Solitamente viene richiesto di eseguire il pagamento in BTC o altra criptovaluta utilizzata dagli sviluppatori. Purtroppo, le cifre applicate da Giuliano Ransomware sono forti e a malapena decifrabili con strumenti di terze parti. Per ora, il modo migliore per recuperare i tuoi file oltre a collaborare con i truffatori è utilizzare le copie di backup.

Essendo un pericoloso virus ransomware, Rook prende di mira la crittografia dei dati e cerca di ricattare gli utenti affinché paghino il riscatto. Il virus è facile da distinguere dalle altre versioni in quanto assegna il .torre estensione a tutti i dati bloccati. Questo significa un file come 1.pdf cambierà in 1.pdf.rook e ripristina la sua icona originale dopo la crittografia riuscita. Subito dopo, Rook Ransomware crea una nota di testo denominata HowToRestoreYourFiles.txt mostrando agli utenti come possono recuperare i dati. Il contenuto della nota di testo dice che puoi ripristinare l'accesso a tutti i dati solo contattando i truffatori e pagando il riscatto. La comunicazione deve essere stabilita tramite e-mail (rook@onionmail.org; securityRook@onionmail.org) o il collegamento al browser TOR allegato alla nota. Durante la scrittura di un messaggio ai criminali informatici, alle vittime viene offerto di inviare fino a 3 file (non più di 1 Mb) e di decifrarli gratuitamente. In questo modo i criminali informatici dimostrano in una certa misura le capacità di decrittazione e la loro affidabilità. Inoltre, se contatti gli estorsori entro i 3 giorni indicati, i criminali informatici forniranno uno sconto del 50% sul prezzo della decrittazione. A meno che tu non rientri in questa scadenza, gli sviluppatori di Rook inizieranno a far trapelare i tuoi file alla loro rete per abusarne in seguito sulle pagine darknet. Dicono anche che nessuno strumento di terze parti ti aiuterà a recuperare i file.

HarpoonLocker è il nome di una recente infezione ransomware segnalata dagli utenti sui forum di malware. Il virus esegue la crittografia dei dati con algoritmi AES-256 e RSA-1024, rendendo crittograficamente sicuri tutti i dati con restrizioni. A seguito di questa modifica alla configurazione, gli utenti non potranno più accedere ai propri dati archiviati sui dispositivi infetti. HarpoonLocker assegna il .locked estensione, comunemente utilizzata da molte altre infezioni ransomware. Questo lo rende più generico e talvolta difficile da differenziare da altre infezioni come questa. Crea anche una nota di testo (restore-files.txt) contenente le istruzioni per il riscatto. Gli sviluppatori affermano che tutti i dati sono stati crittografati e trapelati ai loro server. L'unico modo per ripristinare questo e recuperare i file in modo sicuro è concordare il pagamento del riscatto. Alle vittime viene chiesto di scaricare il messenger qTOX e contattare gli estorsori lì. C'è anche un'opzione per provare gratuitamente la decrittazione di 3 file bloccati. Questa è una garanzia data dai criminali informatici per dimostrare di potersi fidare. Sfortunatamente, non ci sono altri contatti oltre a qTOX che le vittime potrebbero usare per entrare in una discussione con i criminali informatici. Molti ricercatori informatici hanno scherzato sul fatto che HarpoonLocker dovrebbe essere chiamato anche Ransomware qTOX senza nome poiché non c'è nessuno con cui le vittime possano parlare. Per questo e molti altri motivi, si sconsiglia vivamente di soddisfare i requisiti elencati e di pagare il riscatto. Molto spesso i criminali informatici ingannano le loro vittime e non inviano strumenti di decrittazione anche dopo aver ricevuto il denaro.

Trovato e ricercato per la prima volta da un esperto indipendente di nome S!R!, NoCry è un programma ransomware progettato per eseguire la crittografia dei dati. È uno schema molto popolare utilizzato dagli sviluppatori di ransomware per estorcere denaro alle vittime in caso di restrizione dei dati riuscita. Per ora, sono note due versioni di NoCry che differiscono per le estensioni assegnate ai dati bloccati. è o .Cry or .IHA estensione che verrà aggiunta ai file crittografati. Ad esempio, 1.pdf cambierà il suo aspetto in 1.pdf.Cry or 1.pdf.IHA e reimposta la sua icona di collegamento su vuota dopo essere stato colpito da malware. Gli estorsori dietro NoCry Ransomware richiedono il pagamento per la restituzione dei dati tramite un file HTML chiamato How To Decrypt My Files.html. Inoltre, apre una finestra pop-up con cui le vittime possono interagire per inviare il riscatto e decrittografare i propri dati. I contenuti di entrambi sono identici e informano le vittime dello stesso. NoCry offre circa 72 ore per inviare 100$ in BTC all'indirizzo crittografico allegato. Se non verrà consegnato denaro entro la timeline assegnata, NoCry cancellerà i tuoi file per sempre. Questa è una strategia di intimidazione pensata per affrettare le vittime e pagare il riscatto richiesto più velocemente.

Riscatta ora è un altro virus di crittografia dei file emesso dai criminali informatici per estorcere denaro a vittime disperate. È molto simile al già discusso Polaris ransomware poiché esegue lo stesso modello di crittografia con algoritmi AES e RSA. Un'altra somiglianza condivisa tra questi attacchi ransomware è che non allegano alcuna nuova estensione ai dati crittografati. Nonostante i file non subiscano modifiche visive significative, gli utenti non saranno comunque in grado di aprirli. Il virus crea anche un file di testo chiamato LEGGIMI PER SBLOCCARE FILES.txt che contiene istruzioni di decrittazione. Gli sviluppatori affermano che le vittime possono ripristinare i dati solo acquistando una chiave speciale. Il prezzo da pagare è pari a 0.0044 BTC, ovvero circa 250$ al momento della stesura di questo articolo. Tieni presente che i tassi delle criptovalute cambiano sempre, quindi c'è la possibilità che dovrai pagare di più o di meno anche domani. Dopo aver inviato la quantità necessaria di BTC, gli utenti devono consegnare la prova della transazione all'indirizzo e-mail allegato (ransomnow@yandex.ru). Oltre a ciò, i truffatori elencano un paio di risorse dove acquistare la criptovaluta richiesta, se sei nuovo nel mondo delle criptovalute. È inoltre fortemente messo in guardia contro l'esecuzione di manipolazioni con i file da soli o con l'aiuto di strumenti di terze parti.

Scoperto da MalwareHunterTeam, Anarchy Grabber è un tipo di virus progettato per Discordia utenti. Ha lo scopo di alterare il index.js file all'interno della directory Discord (%AppData%\Discord\[version]\modules\discord_desktop_core\) e dirottare i tuoi dati. Modificando il codice interno del file originale, consente ai criminali informatici di caricare file JavaScript dannosi. Questo file dovrebbe contenere solo una riga: module.exports = require('./core.asar');. Tutto il resto proviene da un trojan. Per sbarazzarsi del malware, disinstalla Discord, quindi controlla la presenza di %AppData%\Roaming\discord directory (se esiste, eliminala), quindi reinstalla il client. Se questo non aiuta, leggi la guida completa di seguito. Pertanto, quando gli utenti accedono al proprio account Discord, gli estorsionisti ricevono l'accesso ai tuoi contatti, account, server, messaggi e altri contenuti basati su discord. Spesso, è difficile rilevare AnarchyGrabber poiché nasconde la sua attività dietro i file Discord che vengono ignorati dal software anti-malware. Se non riesci a rimuoverlo manualmente, ti aiuteremo a farlo di seguito.

decaffeinato è classificato come un programma ransomware progettato per ricattare le vittime affinché paghino denaro per il recupero dei dati bloccati. I suoi primi attacchi sono stati registrati all'inizio di novembre 2021 e continuano a verificarsi tra più utenti. Il virus utilizza la propria estensione chiamata .decaffeinato che viene assegnato durante la crittografia. Un esempio di come vorrebbero i file crittografati dopo la crittografia è questo "1.pdf.decaf". È impossibile eliminare l'infezione perché tutti i file perdono la loro accessibilità e anche le icone. Dopo aver installato correttamente i cifrari crittografici, Decaf crea una nota di testo denominata README.txt che contiene informazioni su come recuperare i tuoi dati. I criminali informatici affermano che tutti i dati del server e del PC sono stati crittografati con algoritmi avanzati che impediscono qualsiasi decrittazione di terze parti. L'unico modo possibile per ripristinare l'accesso a tutti i dati è utilizzare uno speciale decryptor "universale" memorizzato dagli estorsori. Per ulteriori istruzioni sulla decrittazione, le vittime devono scrivere all'indirizzo e-mail allegato (22eb687475f2c5ca30b@protonmail.com). Da lì, sarà probabilmente informato sul prezzo del software di decrittazione e sui modi per ottenerlo. Di norma, i criminali informatici richiedono alle loro vittime di inviare quantità variabili di denaro in alcune criptovalute ai loro portafogli. L'intervallo può variare da centinaia a migliaia di dollari per il ripristino dei dati.

Polaris è un programma ransomware che utilizza una combinazione di algoritmi AES e RSA per crittografare i dati degli utenti. A differenza di altre infezioni di questo tipo, Polaris non aggiunge alcuna estensione ai file crittografati. L'unica cosa che cambia è l'accessibilità ai file: le vittime non sono più idonee ad aprire i dati archiviati. Per risolvere questo problema, gli sviluppatori Polaris incoraggiano le loro vittime a leggere le istruzioni di ripristino in un file chiamato AVVISO.txt. La nota di testo crea alla fine della crittografia e dice che dovresti contattare gli estorsori usando la comunicazione e-mail (pol.aris@opentrash.com or pol.aris@tutanota.com). C'è anche un'opzione per aggiungere criminali informatici su Discord. Durante la scrittura di un messaggio, le vittime dovrebbero indicare il nome dell'azienda che è stata attaccata. Questo è un indizio che Polaris prende di mira le reti aziendali in modo che possano permettersi di pagare il riscatto richiesto. Il consiglio più comune che potresti vedere sul web riguardo ai pagamenti di riscatto è evitarli altrettanto. Questo è vero perché molti criminali informatici tendono a ingannare le loro vittime e alla fine non inviano strumenti di decrittazione.