I virus

Scoperto da un ricercatore di malware di nome S!Ri, Artemis appartiene alla famiglia di ransomware PewPew. Le frodi dietro questa famiglia hanno diffuso una serie di infezioni ad alto rischio che eseguono la crittografia dei dati. Artemis è la variante più recente del criptatore di file che taglia l'accesso alla maggior parte dei dati archiviati utilizzando algoritmi crittografici multistrato. Questi algoritmi rendono i dati completamente crittografati, il che impedisce agli utenti di aprirli. Oltre a ciò, i file crittografati bloccati da Artemis vengono modificati anche in modo visivo. Ad esempio, un file come 1.pdf cambierà in qualcosa del tipo 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis e ripristina la sua icona originale. Questa stringa è costituita dall'ID delle vittime, khalate@tutanota.com indirizzo e-mail, e .artemide estensione alla fine. Quindi, non appena la crittografia arriva al termine, Artemis richiede il info-decrypt.hta per apparire su tutto lo schermo. Le versioni recenti del malware utilizzano Leggimi-[ID_vittima].txt nome e uso della richiesta di riscatto .ultimo ed .999 estensioni (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate e 1.pdf.id[ID_vittima].[restoredisscus@gmail.com].999).

Buongiorno è un programma dannoso classificato come ransomware. Il suo obiettivo principale consiste nel guadagnare denaro sulle vittime i cui dati sono stati crittografati con cifrari efficaci. Di solito, le vittime vengono a conoscenza dell'infezione dopo che GoodMorning ha assegnato una nuova estensione complessa ai file compromessi (che termina con .Buongiorno, .BLOCCATO or .VERO). Per esempio, 1.pdf e altri file memorizzati su un sistema verranno modificati in questo modello 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. L'ID all'interno delle estensioni differirà individualmente in quanto è unico per ciascuna delle vittime. Quindi, una volta che tutti i file vengono crittografati e modificati visivamente, il virus crea note di testo chiamate o Buongiorno.txt, ReadIt.txt or ReadMe.txt. Ha lo scopo di spiegare istruzioni più ampie su come recuperare i dati.

pagare è un programma ransomware che infetta i sistemi Windows per crittografare i dati personali. Influisce sulla configurazione dei file memorizzati rendendoli totalmente inaccessibili. Ciò significa che qualsiasi tentativo di aprire i file verrà negato a causa della crittografia. Oltre alle modifiche alla configurazione, Pagar Ransomware altera i dati anche con mezzi visivi, assegnando il .pagar40br@gmail.com estensione a ciascun file in crittografia. Ad esempio, un file come 1.pdf cambierà in 1.pdf.pagar40br@gmail.com e reimposta la sua icona originale su vuota. Dopo che tutti i file sono stati crittografati, Pagar crea una richiesta di riscatto chiamata Avviso urgente.txt, che spiega come recuperare i dati. Gli sviluppatori di ransomware sono concisi e dicono che hai 72 ore per inviare 0.035 BTC al portafoglio allegato. Subito dopo aver completato il pagamento, le vittime devono contattare gli sviluppatori tramite pagar40br@gmail.com allegando l'indirizzo del proprio portafoglio e l'ID univoco (scritto nella nota). Sfortunatamente, non ci sono informazioni sull'affidabilità degli sviluppatori Pagar.

Chaos è una popolare famiglia di ransomware che diffonde una serie di versioni di malware. Dopo la sua infezione, la maggior parte dei file archiviati su un sistema vengono riadattati diventando non più accessibili. Questo viene fatto dai criminali informatici per estorcere il cosiddetto riscatto alle vittime in cambio dello sblocco dei dati. Al momento, ci sono 4 versioni più popolari propagate da Chaos: Axiom, Teddy, Encrypted e AstraLocker Ransomware. Tutti e 4 assegnano la propria estensione bloccando l'accesso ai dati. Ad esempio, un file come 1.pdf potrebbe cambiare in 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encrypted, o 1.pdf.astralocker a seconda di quale versione ha attaccato la tua rete. Inizialmente, Chaos si chiamava Ryuk .Net Ransomware, ma poi è stato aggiornato e ha iniziato a diffondersi con il nuovo nome. Inoltre, Ryuk.Net imitava solo la crittografia con algoritmi AES+RSA, ma in realtà utilizzava la codifica Base64 per danneggiare la struttura dei file. Non è escluso che lo stesso possa essere affrontato anche nelle versioni più recenti. È anche possibile vedere una versione di Chaos che aggiunge una stringa di caratteri casuali a file crittografati - come 1.pdf.us00, 1.pdf.wf1d, e così via. Non appena la crittografia (o la crittografia falsa) termina, il virus crea una nota di testo con le istruzioni su come recuperare i dati. Ecco i nomi e il contenuto di ogni nota di testo creata da diverse versioni (README.txt, read_it.txt, LEGGI_ME_NOW.txt.

TOHNICHI sta per un programma ransomware che modifica le estensioni dei file rendendoli tutti crittografati. .tohnichi è il nome della nuova estensione assegnata ad ogni pezzo compromesso. Ciò significa che tutti i file crittografati appariranno in questo modo 1.pdf.tohnichi alla fine del processo. L'ultimo pezzo del puzzle portato da Tohnichi è Come decifrare files.txt, il file di testo creato dal malware per spiegare le istruzioni di decrittazione. Prima di tutto, si afferma che la tua rete è stata violata, il che ha permesso agli estorsionisti di crittografare i tuoi dati. Quindi, i criminali informatici affermano di essere le uniche figure in grado di eseguire la decrittazione sicura e completa dei dati. Per questo, alle vittime viene chiesto di stabilire una comunicazione utilizzando il collegamento al browser Tor e pagare per il software di decrittazione. Il prezzo è tenuto segreto e dipende dalla velocità con cui contatti gli sviluppatori. Dopo aver completato il pagamento, gli sviluppatori promettono di inviare uno strumento di decrittazione univoco per recuperare i dati. In aggiunta a ciò, gli sviluppatori di ransomware affermano di poter decrittografare diversi file (che non contengono informazioni preziose) prima di pagare il riscatto gratuitamente. Questa è davvero una buona offerta, ma ancora insufficiente per fidarsi dei criminali informatici su base individuale.

Zeppelin è stato scoperto da GrujaRS, che è un elemento dannoso che infetta i computer e crittografa i dati dell'utente. Programmi di questo tipo sono in genere progettati per fare soldi con utenti disperati che hanno bloccato i loro file. Come al solito, con la crittografia, arriva un cambiamento significativo nell'estensione del file: li rinomina utilizzando il sistema numerico esadecimale in qualcosa di simile 1.mp4.126-A9A-0E9. In effetti, l'estensione può variare in base ai simboli poiché il virus può generare valori casuali. Una volta completata la crittografia, Zepellin crea un file di testo chiamato !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT sul desktop. In questa nota, gli estorsori ti offendono con l'abuso del riscatto chiamandoti per contattarli e acquistare una chiave specifica. Sfortunatamente, a questo punto non esiste un metodo provato che possa decrittografare i tuoi dati gratuitamente. L'unico modo per farlo è seguire le loro istruzioni, il che è un enorme rischio. Sebbene la decisione ricada sulle tue spalle, ti consigliamo di eliminare Zeppelin Ransomware nella guida di seguito.

MOSNA è classificato come un'infezione ransomware che richiede denaro alle vittime dopo aver crittografato i dati. Normalmente, tali infezioni colpiscono tutti i file potenzialmente importanti come foto, video, documenti, database e altro che hanno un certo valore per le vittime. La crittografia può essere individuata da nuove estensioni assegnate a ciascun pezzo compromesso. Ad esempio, un file denominato 1.pdf cambierà in 1.pdf.MOSN alla fine della crittografia. Lo stesso si vedrà con altri dati secondo questo schema. Quindi, subito dopo, MOSN installa nuovi sfondi estesi su tutto lo schermo che visualizza un breve riepilogo del riscatto. Dichiara che le vittime dovrebbero contattare gli sviluppatori tramite walter1964@mail2tor.com indirizzo e-mail e paga 300$ in Bitcoin per il riscatto dei dati. Inoltre, MOSN Ransomware crea un file di testo chiamato INFORMAZIONE_READ_ME.txt questo spiega lo stesso ma menziona anche il numero di file crittografati e l'ID univoco che dovrebbero essere allegati mentre si contattano gli estorsori.

Divinità, Matafaka e Army sono tre infezioni ransomware rilasciate dal gruppo di sviluppo noto come Xorist. Dopo che il tuo sistema è stato infettato con successo, un virus costringe la maggior parte dei file archiviati a cambiare nome. A seconda della versione che ha attaccato il tuo PC, qualsiasi immagine, video, musica o file di documento come 1.pdf cambierà in 1.pdf.divinity, 1.pdf.matafaka, o 1.pdf.army. Dopo che ogni file viene modificato visivamente, le versioni sopra menzionate visualizzano un messaggio di testo in finestre pop-up o file di blocco note (HOW TO DECRYPT FILES.txt). Il testo è diverso per ogni versione. Per illustrare, Matafaka e Army mostrano a malapena informazioni sulla decrittazione dei dati. Dicono che il tuo PC è stato violato, ma non forniscono informazioni o istruzioni di pagamento per ripristinare i dati. Il motivo potrebbe essere che queste versioni sono ancora in fase di sviluppo e test. Non è escluso che ci siano versioni complete con istruzioni a tutti gli effetti che già circolano in giro per il web. Divinity è l'unica versione fuori dall'elenco con i dettagli di contatto per pagare il riscatto. Per questo, agli utenti viene chiesto di scrivere un messaggio diretto a @lulzed Telegram o @dissimilate su Twitter. Si noti che la famiglia Xorist Ransomware utilizza algoritmi XOR e TEA per crittografare i dati personali. I dati crittografati da tali cifre hanno meno probabilità di essere decifrati senza il coinvolgimento di criminali informatici. Nonostante ciò, si sconsiglia espressamente di soddisfare le richieste di cifre fraudolente.