I virus

Gijeb è un virus ransomware che esegue la crittografia dei dati per estorcere denaro alle vittime. Sembra molto simile a Keq4p Ransomware, il che significa che è probabile che provengano dalla stessa famiglia di malware. Proprio come Keq4p, Gyjeb Ransomware assegna una stringa casuale di simboli senza senso insieme ai propri .gijeb estensione. Per illustrare, un file come "1.pdf" cambierà il suo aspetto in qualcosa del genere 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb e ripristina la sua icona originale. Dopo che tutti i file sono stati modificati in questo modo, il virus crea una nota di testo chiamata nTLA_HOW_TO_DECRYPT.txt che comporta istruzioni di decrittazione. Puoi familiarizzare con questa nota nello screenshot qui sotto.

Keq4p è un'infezione ransomware che crittografa i dati personali utilizzando algoritmi crittografici. Questi algoritmi garantiscono una forte protezione dei dati dai tentativi di decrittografarli. I file attaccati dal ransomware sono in genere foto, video, musica, documenti e altri tipi di dati che potrebbero comportare un certo valore. La maggior parte dei criptatori di file modifica tutti i file interessati assegnando la propria estensione. Keq4p fa esattamente lo stesso, ma associa anche una stringa casuale di simboli. Ad esempio, un file come 1.pdf cambierà in qualcosa del tipo 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p o simili. La stringa assegnata è totalmente casuale e non ha uno scopo reale. Insieme alle modifiche visive, Keq4p chiude il suo processo di crittografia con la creazione di zB6F_HOW_TO_DECRYPT.txt, un file di testo contenente le istruzioni per il riscatto. Puoi dare un'occhiata più da vicino a cosa contiene nello screenshot seguente.

Hydra è un'infezione ransomware che rende inaccessibili i dati degli utenti eseguendo una crittografia completa. Oltre a non essere in grado di accedere ai dati, gli utenti potrebbero anche notare alcuni cambiamenti visivi. Hydra assegna una nuova stringa di simboli contenente gli indirizzi e-mail dei criminali informatici, l'ID generato casualmente assegnato a ciascuna vittima e il .IDRA estensione alla fine. Per illustrare, un file come 1.pdf cambierà il suo aspetto in [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA e reimposta l'icona originale su vuota. Non appena tutti i file vengono crittografati, il virus promuove istruzioni di riscatto per guidare le vittime attraverso il processo di recupero. Questo può essere trovato all'interno di #FILESENCRYPTED.txt nota di testo, che viene creata dopo la crittografia. Gli sviluppatori di Hydra affermano che le vittime possono ripristinare i propri file scrivendo all'indirizzo e-mail allegato (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). Successivamente, i criminali informatici dovrebbero fornire ulteriori istruzioni per acquistare la decrittazione dei file.

DeltaPlus è un virus di tipo ransomware che utilizza algoritmi crittografici per crittografare i dati personali. Assegna cifrature complesse che sono difficili da decodificare senza speciali strumenti di decrittazione in possesso degli stessi criminali informatici. Per acquistare questi strumenti, alle vittime viene richiesto di inviare l'equivalente di 6,000 USD in BTC a un indirizzo crittografico. Il prezzo per la decrittazione può anche essere ridotto a 3,000 USD se si riesce a completare il pagamento entro le prime 72 ore dall'infezione. Tutte queste informazioni sono divulgate all'interno della nota di testo chiamata Aiuta a ripristinare i tuoi file.txt, che viene creato non appena viene eseguita la crittografia dei file. Delta Plus aggiunge il .delta estensione a tutti i file interessati. Ad esempio, un file come 1.pdf cambierà in 1.pdf.delta e perde la sua icona originale. Dopo queste modifiche, gli utenti non potranno più accedere ai propri file finché non pagheranno il riscatto richiesto.

Scoperto da Tomas Meskauskas, Koxic è determinato per essere un'infezione ransomware che opera crittografando i dati memorizzati nel PC. In altre parole, la maggior parte dei file come foto, video, musica e documenti verrà bloccata dal virus per impedire agli utenti di accedervi. Anche tutti i file crittografati diventano nuovi .KOSSICO or .KOXIC_PLCAW estensioni. Ciò significa file crittografati come 1.pdf cambierà in 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Lo stesso modello verrà applicato ai dati residui crittografati dal ransomware. Dopo aver fatto le cose con la crittografia, il virus crea una nota di testo che spiega le istruzioni per il riscatto. Queste istruzioni indicano che le vittime devono contattare gli sviluppatori tramite koxic@cock.li or koxic@protonmail.com e-mail con il proprio ID personale. Questo ID può essere trovato allegato alla richiesta di riscatto. Se non è visibile, è possibile che una versione di Koxic Ransomware che si è infiltrata nel tuo sistema sia ancora in fase di sviluppo e di test.

Porno è classificato come un'infezione ransomware che prende di mira la crittografia dei dati personali. È molto probabile che file come foto, documenti, musica e video siano nell'ambito della crittografia di Porn Ransomware. Per differenziare i file crittografati da quelli normali, gli sviluppatori assegnano il .porno estensione a ciascun campione compromesso. Ad esempio, un file come 1.pdf cambierà in 1.pdf.porn e ripristina la sua icona originale. Dopodiché, il virus inizia a richiedere il cosiddetto riscatto per recuperare i tuoi dati. Queste informazioni possono essere visualizzate in una finestra pop-up in primo piano o in una nota di testo chiamata RECUPERARE__.porn.txt. All'interno di questa nota e finestra pop-up, i criminali informatici visualizzano il numero di file che hanno decrittografato. Per cancellare le cifre assegnate, gli sviluppatori di porno chiedono alle vittime di inviare 1 BTC all'indirizzo crittografico allegato e inviarle per e-mail con l'ID della transazione in seguito. Sfortunatamente, non molte vittime possono permettersi di pagare il prezzo di 1 BTC (42,000 USD).

Blackbyte è il nome di un data-locker che crittografa i file archiviati su un dispositivo. Tale malware è più noto come ransomware perché estorce denaro alle vittime per il recupero dei dati. Anche se BlackByte è nuovo e poco osservato, ci sono abbastanza dettagli per differenziarlo da altre infezioni. Uno di questi è il .blackbyte estensione che viene aggiunta a ciascun file crittografato. Ad esempio, un pezzo come 1.pdf cambierà la sua estensione in 1.pdf.blackbyte e ripristinare l'icona originale. Il passaggio successivo dopo la crittografia di tutti i dati disponibili è la creazione di una richiesta di riscatto. BlackByte genera il BlackByte_restoremyfiles.hta file, che mostra i dettagli di ripristino. All'interno, alle vittime viene chiesto di contattare i criminali informatici tramite e-mail. Questa azione è obbligatoria per ricevere ulteriori istruzioni su come acquistare un decryptor di file. Questo decryptor è unico e detenuto solo dai criminali informatici. Il prezzo del riscatto può variare da persona a persona raggiungendo centinaia di dollari. Tieni presente che pagare il riscatto è sempre un rischio di perdere i tuoi soldi per niente. Molti estorsionisti tendono a ingannare le loro vittime e a non inviare alcuno strumento di decrittazione anche dopo aver ricevuto il denaro richiesto. Sfortunatamente, non esistono decryptor di terze parti in grado di garantire la decrittazione del 100% dei file BlackByte.

Ranione è un gruppo di malware che sviluppa e diffonde infezioni ransomware. La sua versione recente si chiama R44s, che crittografa i dati utilizzando potenti algoritmi crittografici e quindi richiede denaro per il suo riscatto. Le vittime possono individuare che i loro file sono stati crittografati con mezzi visivi. Prime versioni di Ranion Ransomware scoperte a Novemver, 2017 utilizzate .riscatto estensione. Ora il virus assegna la pianura .r44s estensione a tutti i pezzi compromessi. Ecco un rapido esempio di come si occuperanno dei file dopo la corretta crittografia: 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44se così via a seconda del nome del file originale. Subito dopo la fine di questo processo di crittografia, R44s crea un file HTML denominato LEGGIMI_TO_DECRYPT_FILES.html.