I virus

RansomHub Ransomware è un tipo di software dannoso che rientra nella categoria dei virus di crittografia dei file. È progettato per infiltrarsi nei sistemi informatici, crittografare i file e richiedere un riscatto per la chiave di decrittazione. A differenza del ransomware tradizionale, che crittografa i file e richiede il pagamento, RansomHouse, associato a RansomHub, si concentra sulla violazione delle reti tramite vulnerabilità per rubare dati e costringere le vittime a pagare senza necessariamente utilizzare la crittografia. Il ransomware RansomHub può aggiungere varie estensioni di file ai file crittografati, come .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o un'estensione di lunghezza 6-7 composta da caratteri casuali. Gli algoritmi di crittografia specifici utilizzati da RansomHub non sono dettagliati, ma il ransomware utilizza in genere metodi di crittografia avanzati come AES o RSA per impedire la decrittografia non autorizzata. RansomHub crea richieste di riscatto con istruzioni per le vittime su come pagare il riscatto e potenzialmente recuperare i propri file. I nomi comuni dei file delle richieste di riscatto includono README_{stringa-casuale}.txt, e vari altri. La posizione della richiesta di riscatto è in genere all'interno delle directory dei file crittografati.

BlackLegion Ransomware è un tipo di software dannoso progettato per crittografare i file sul computer di una vittima, rendendoli inaccessibili e quindi richiedendo un riscatto per la chiave di decrittazione. Una volta installato su un computer, BlackLegion crittografa i file e aggiunge un'estensione univoca ai nomi dei file. Tutti i file crittografati con BlackLegion Ransomware avranno 8 caratteri casuali seguiti dall'e-mail della vittima e dal file .BlackLegion estensione. Ad esempio, un file denominato photo.jpg potrebbe essere rinominato in photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion dopo la crittografia. BlackLegion crea una richiesta di riscatto sotto forma di file di testo, in genere denominato DecryptNote.txt o una sua variante. Questa nota include istruzioni su come pagare il riscatto, solitamente in criptovaluta, e può offrire di decrittografare gratuitamente un singolo file come prova che gli aggressori possono ripristinare i file della vittima.

WantToCry Ransomware è un tipo di virus di crittografia, ovvero un sottoinsieme di malware che crittografa i file sul computer di una vittima e richiede un riscatto per la chiave di decrittazione. Questo particolare cryptor prende di mira i dispositivi NAS. Il ransomware WantToCry aggiunge il file .want_to_cry estensione ai file che crittografa. Ciò indica chiaramente quali file sono stati compromessi e sono inaccessibili senza la chiave di decrittazione. Sebbene il metodo di crittografia specifico utilizzato da WantToCry non sia dettagliato nella fonte fornita, il ransomware utilizza generalmente algoritmi di crittografia avanzati come AES (Advanced Encryption Standard) o RSA (Rivest–Shamir–Adleman) per bloccare i file, rendendoli inaccessibili senza una chiave di decrittografia univoca . È un virus crittografico che blocca i file e costringe le vittime a pagare per riottenere l'accesso ai propri dati WantToCry crea una richiesta di riscatto denominata !want_to_cry.txt rimasto sul computer della vittima. Questa nota informa la vittima che i suoi dati sono stati crittografati e fornisce istruzioni su come pagare il riscatto, che è fissato a 300 dollari. Alle vittime viene chiesto di scaricare e installare qTOX, creare un profilo e contattare i criminali informatici tramite la chat qTOX per organizzare il pagamento.

Mallox Ransomware, noto anche come "TargetCompany" o "Fargo", è un software dannoso che crittografa i file sul computer della vittima e richiede un riscatto per la chiave di decrittazione. È attivo dalla metà del 2021 e opera secondo un modello Ransomware-as-a-Service (RaaS), sfruttando forum e mercati clandestini per reclutare affiliati e pubblicizzare i propri servizi. Mallox crittografa i file utilizzando l'algoritmo di crittografia ChaCha20 e aggiunge varie estensioni di file ai file crittografati, come ad esempio .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx e altri. In alcuni casi utilizza anche i nomi delle vittime come estensione. Il ransomware rilascia una richiesta di riscatto (HOW TO RESTORE FILES.txt) in ogni directory dell'unità della vittima, spiegando l'infezione e fornendo le informazioni di contatto degli aggressori. La nota richiede alle vittime di inviare il proprio ID personale all'indirizzo e-mail degli aggressori per ricevere istruzioni di pagamento per lo strumento di decrittazione.

Press Ransomware è un tipo di malware che rientra nella categoria del cripto-ransomware, progettato per crittografare i dati sui computer infetti, rendendo i file inaccessibili agli utenti. Gli aggressori richiedono quindi il pagamento di un riscatto in cambio della chiave di decrittazione che consentirebbe alle vittime di riottenere l'accesso ai propri file crittografati. Dopo aver crittografato i file, viene aggiunto Press Ransomware .press, .dwarf or .spfre estensioni ai nomi dei file, rendendoli facilmente identificabili. Ad esempio, un file originariamente denominato 1.jpg verrebbe rinominato in 1.jpg.press dopo la crittografia. L'algoritmo di crittografia specifico utilizzato da Press Ransomware non è dettagliato nei risultati di ricerca forniti, ma è normale che tale malware utilizzi metodi di crittografia robusti come AES o RSA per impedire la decrittazione non autorizzata. Al termine del processo di crittografia, Press Ransomware rilascia una richiesta di riscatto denominata RECOVERY NFO.txt sul computer della vittima. Questa nota informa la vittima che i suoi file sono stati crittografati e che i dati sensibili sono stati esfiltrati. Gli aggressori minacciano di vendere o divulgare online i contenuti rubati se il riscatto non viene pagato. La nota offre inoltre alla vittima la possibilità di inviare agli aggressori un paio di file crittografati affinché vengano decrittografati gratuitamente come prova che sono in grado di decrittografare i file.

DiskStation Security Ransomware è un tipo di malware che prende di mira specificamente i dispositivi Synology NAS (Network Attacked Storage), che vengono spesso utilizzati per archiviare grandi quantità di dati, inclusi backup e file personali. Lo scopo principale di questo ransomware, come altri, è crittografare i file sul sistema infetto e chiedere un riscatto alla vittima in cambio della chiave di decrittazione. Le estensioni dei file prese di mira da DiskStation Security Ransomware non sono dettagliate nei risultati della ricerca forniti. Tuttavia, il ransomware generalmente prende di mira un'ampia gamma di tipi di file, in particolare quelli associati a documenti, immagini, video e database importanti. Anche il metodo di crittografia utilizzato non è specificato, ma AES (Advanced Encryption Standard) è comunemente utilizzato dai ransomware per la sua robustezza. Dopo la crittografia, il ransomware aggiunge un'estensione casuale ai file. Dopo aver crittografato con successo i file, il ransomware in genere lascia una richiesta di riscatto (!!Read Me!!.txt) sul desktop o nelle directory interessate. Questa nota contiene istruzioni per la vittima su come pagare il riscatto e spesso include minacce di distruzione o esposizione dei dati se le richieste non vengono soddisfatte.

RCRU64 Ransomware è un tipo di malware che crittografa i file sul computer della vittima e richiede un riscatto per la chiave di decrittazione. Si diffonde principalmente attraverso allegati e-mail in attacchi di phishing, download di software dannoso e sfruttamento delle vulnerabilità, in particolare attraverso password deboli Remote Desktop Protocol (RDP). RCRU64 modifica i nomi dei file crittografati aggiungendo l'ID della vittima, l'indirizzo e-mail e un'estensione specifica. Le estensioni note associate a RCRU64 includono .HM8 e altre varianti come ".TGH", ".03rK", ".q6BH" e ".IalG. Il ransomware utilizza algoritmi di crittografia avanzati per bloccare i file sul computer infetto. Sebbene i dettagli specifici sul metodo di crittografia non siano forniti nella risultati della ricerca, il ransomware utilizza in genere una combinazione di crittografia simmetrica (ad esempio AES) e asimmetrica (ad esempio RSA) per proteggere i file, rendendo quasi impossibile la decrittografia senza la chiave.RCRU64 crea note di riscatto denominate Restore_Your_Files.txt ed ReadMe.hta, che informano le vittime che i loro file sono stati crittografati e forniscono istruzioni per il pagamento. Le note mettono in guardia contro il tentativo di decrittografare i file in modo indipendente e offrono di decrittografare alcuni file come prova prima che venga effettuato il pagamento.

Proton è un'infezione ransomware. Lo scopo di questo virus è eseguire la crittografia di dati potenzialmente critici e quindi richiedere denaro per la sua completa decrittografia. Nel fare ciò, Proton modifica i file anche visivamente: un file interessato con acquire kigatsu@tutanota.com indirizzo e-mail, ID della vittima e .Proton or .kigatsu estensione ai file crittografati. Ad esempio, un file come 1.pdf si trasformerà in qualcosa di simile 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. A seguito di questa modifica, le vittime non saranno più in grado di accedere ai propri file, indipendentemente dalle modifiche apportate. Dopo questo, il virus rilascia il file README.txt nota di testo, che contiene istruzioni di decrittazione. Si dice che i dati della vittima siano stati crittografati (utilizzando algoritmi AES ed ECC) e rubati dai criminali informatici. La parola "rubato" probabilmente suggerisce che i dati crittografati sono stati copiati sui server dei criminali informatici e possono essere utilizzati in modo improprio in qualsiasi momento a meno che non venga pagato il riscatto. Gli autori delle minacce incoraggiano le loro vittime a contattarli tramite Telegram o e-mail e ad acquistare il servizio di decrittazione. Inoltre, le vittime possono anche inviare un file (meno di 1 MB) e farlo decrittografare gratuitamente. In questo modo i criminali informatici dimostrano la loro affidabilità e la loro capacità di restituire l’accesso ai dati bloccati. Alla fine della richiesta di riscatto, gli estorsori lanciano un paio di avvertimenti sui rischi derivanti dal tentativo di decrittografare i file senza l'aiuto degli sviluppatori di ransomware.