I virus

Keversen è un virus di tipo ransomware che prende di mira la crittografia avanzata dei dati. Questo ha lo scopo di spingere le vittime a pagare il cosiddetto riscatto per decifrare i file bloccati. Tutte le istruzioni sul processo di ripristino vengono rivelate dopo che i file sono stati crittografati. Il virus Keversen rinomina una vasta gamma di dati personali (foto, video, documenti, database, ecc.) con il .keversen estensione. Per illustrare, un file come 1.pdf cambierà in 1.pdf.keversen subito dopo la crittografia. Tutto questo accade in un batter d'occhio, quindi non c'è modo di impedirlo a meno che tu non abbia installato uno speciale programma anti-ransomware. Quindi, subito dopo che questa fase dell'infezione si è conclusa, Keversen Ransomware passa alla creazione del !=PRONTO=!.txt nota, che sparge alcune parole su come recuperare i tuoi dati.

Informazioni è un esempio di infezione ransomware, che cifra diversi tipi di dati personali memorizzati su un sistema. Dopo che questo processo sarà ufficialmente terminato, le vittime non saranno più in grado di accedere ai propri dati. Infa Ransomware assegna un'estensione comune (.inf) a tutti i file compromessi. Questo significa un file come 1.pdf sarà cambiato in 1.pdf.infa o simili a seconda del nome originale. Subito dopo che tutti i file sono stati rinominati, il virus forza una nota di testo chiamata leggiora.txt da rilasciare sul desktop. Contiene informazioni generali su come recuperare i dati. Come indicato nella nota, file come foto, video, documenti e altri formati sono stati crittografati. Per cancellare le cifre aggiunte, le vittime devono contattare i criminali informatici (tramite stevegabriel2000@gmail.com) e acquista una chiave di decrittazione speciale. Il prezzo è pari a 0.0022 BTC, ovvero circa 95$ nel momento in cui scriviamo questo articolo. Viene anche menzionato che ci sono 2 giorni assegnati per la decrittazione dei file. Se non completi il ​​pagamento in tempo, i tuoi file verranno cancellati dal sistema. La scelta di pagare la decrittazione dipende dalla tua decisione.

MedusaLocker è uno dei più grandi aggregatori di ransomware che diffonde una serie di infezioni da malware. Proprio come altri programmi ransomware, il virus ha lo scopo di crittografare i dati memorizzati nel PC e richiedere un riscatto monetario in cambio di software di decrittazione. .krlock, .L54e .mai101 sono le versioni più recenti pubblicate da MedusaLocker Ransomware. Sono anche le estensioni assegnate ad ogni pezzo compromesso. Ad esempio, un file come 1.pdf cambierà in 1.pdf.krlock, 1.pdf.L54, o 1.ever101 a seconda di quale versione ha violato il tuo sistema. Non c'è una vera differenza in quale versione si è lanciata sulla tua rete. Tutti usano una combinazione di algoritmi AES e RSA per scrivere cifrature sicure sui dati. L'unico aspetto che varia sono le note di testo del riscatto create dopo che la crittografia è stata eseguita. Sebbene il contenuto possa differire ma contenere comunque più o meno lo stesso messaggio per le vittime infette. Potresti dover affrontare richieste di riscatto denominate Recupero_Istruzioni.html, COME_TO_RECOVER_DATA.htmlo simili che portano alle pagine del browser.

Velenoso è un virus di tipo ransomware che mette sotto chiave la maggior parte dei dati archiviati e richiede il cosiddetto riscatto per recuperarli. Questo processo è più noto come crittografia dei file in quanto esistono cifrari crittografici applicati dal malware con l'aiuto di algoritmi AES-256. Oltre a crittografare i file a livello di configurazione, Venomous li modifica anche visivamente. Combina i nomi dei file originali, gli ID delle vittime e .velenoso estensione per rinominare i dati compromessi. Ad esempio, un file come "1.pdf" emergerà come 1.pdf.FB5MMSJUD2WP.venomous alla fine della crittografia. Poco dopo, Venomous passa alla creazione di un file di testo chiamato SCUSA-PER-FILES.txt che memorizza le istruzioni di decrittazione. La nota afferma che tutti i dati conservati sul tuo sistema sono stati infettati da algoritmi potenti. Si avvisa inoltre di non rinominare o modificare i file crittografati in quanto potrebbe causare la loro rottura. Per garantire un recupero dei dati garantito e senza danneggiamenti, alle vittime viene offerto di acquistare chiavi di decrittazione archiviate dai criminali informatici. Per questo, gli utenti devono inviare il proprio ID personale a @venomous_support tramite l'app Telegram o contattare gli estorsori utilizzando velenoso.files@tutanota.com indirizzo email. Inoltre, si propone anche di testare la decrittazione gratuita prima di pagare il riscatto. Per fare ciò, le vittime sono guidate ad aprire un link Tor allegato alla nota e caricare 1 campione crittografato di dati.

Essere parte di Dharma Ransomware famiglia, Dharma-TOR è un altro programma dannoso che esegue la crittografia sui dati personali. Commettendo questo atto, gli sviluppatori costringono le vittime a pagare il cosiddetto riscatto. Il primo segno di Dharma-Tor che infetta il tuo sistema si riflette nelle nuove estensioni di file. I criminali informatici assegnano l'ID personale della vittima, l'indirizzo di contatto e .TOR estensione alla fine di ogni file. Ad esempio, 1.pdf o qualsiasi altro file memorizzato sul tuo sistema avrà un nuovo aspetto 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, o qualcosa di simile. Subito dopo che tutti i dati sono stati modificati con successo, Dharma-TOR presenta una finestra pop-up insieme a un file di testo chiamato FILE ENCRYPTED.txt, che viene rilasciato sul desktop. Sia la finestra pop-up che la nota di testo hanno lo scopo di istruire le vittime attraverso il processo di recupero. Si dice che gli utenti debbano contattare gli sviluppatori tramite e-mail indicata nell'estensione con il proprio ID personale. In caso di mancata risposta, le vittime sono guidate a scegliere un altro indirizzo e-mail allegato alla nota. Dopo aver stabilito un contatto riuscito con i criminali informatici, è probabile che gli utenti ricevano istruzioni di pagamento per acquistare la decrittazione dei dati.

Utenti infetti da Makop Ransomware vedranno i loro dati bloccati dall'accesso regolare e modificati con mezzi visivi. Esistono diverse versioni utilizzate dagli sviluppatori Makop per diffondersi sulle vittime. L'unica vera differenza tra loro risiede nelle varie estensioni e indirizzi e-mail (.induismo, .gamigin, .dev0, ecc.) utilizzato per rinominare i file crittografati. Il resto può essere descritto come pura replica delle precedenti versioni di Makop tramite un modello. Una volta che questo virus si è insediato in un PC, quasi tutti i dati disponibili verranno assegnati con ID univoco delle vittime, e-mail di contatto ed estensione casuale a seconda di quale versione si è avventata sul sistema. Ad esempio, un file come 1.pdf sarà cambiato in qualcosa di simile 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduism, o in modo simile con altre estensioni come .gamigin, .dev0 o .makop. Poco dopo che questa parte della crittografia si è conclusa, il virus rilascia una nota di testo chiamata readme-warning.txt in ogni cartella contenente dati compromessi. La nota elenca una serie di domande e risposte che spiegano i dettagli del recupero. Si dice che gli utenti abbiano l'unico modo per ripristinare i dati: pagare per la decrittazione in Bitcoin. Le istruzioni per il pagamento saranno ottenute solo dopo aver stabilito un contatto via e-mail (induismo0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.io, o altro indirizzo). Allo stesso modo delle estensioni, anche gli indirizzi di contatto sono una parte dell'equazione che varia da persona a persona.

Gooolag è un'infezione ransomware che impedisce a tutti i dati archiviati di accedere regolarmente per richiedere il pagamento di un riscatto di ripristino. È più probabile che le aziende ad alto reddito vengano infettate da questa versione di ransomware. I criminali informatici usano il .crptd estensione a ciascun file crittografato. Ad esempio, un dato come 1.xls cambierà in 1.xls.crptd e ripristina la sua icona originale. Dopo questa fase di crittografia, le vittime ricevono istruzioni di decrittazione presentate all'interno di una nota di testo chiamata How To Restore Your Files.txt. La nota svela un mondo di informazioni strazianti riguardo ai dati. Inizialmente, i criminali informatici affermano che 600 Gigabyte di dati importanti sono stati caricati su server anonimi. Quindi, le vittime vengono prese a pugni con alcune chiamate intimidatorie: attacchi DDoS (distributed denial-of-service) su interi domini e contatti aziendali. Per evitare che ciò accada e la perdita di tutti i dati, le vittime sono obbligate a contattare gli estorsori utilizzando la comunicazione e-mail (Gooolag46@protonmail.com or guandong@mailfence.com). Se gli sviluppatori sospettano qualcosa relativo alla polizia o alle autorità informatiche, il processo di ripristino ne risentirà.

Kikiriki è un'infezione ransomware che isola l'accesso ai dati archiviati su un PC. Tutti i file importanti finiscono per essere crittografati e alterati con mezzi visivi. Gli sviluppatori di Kikiriki aggiungono il nuovo .kikiriki estensione insieme al documento d'identità della vittima. Per illustrare, un file come 1.pdf è probabile che cambi in 1.pdf.kikiriki.19A-052-6D8 e similmente. Subito dopo, il virus crea un file di testo chiamato !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Gli sviluppatori di ransomware affermano che non c'è altro modo per decrittografare i tuoi dati se non pagare il riscatto. Il prezzo per la decrittazione deve ancora essere deciso in ulteriori trattative, tuttavia, le vittime sono già informate che dovrebbe essere fatto in Bitcoin. Per ulteriori istruzioni di pagamento, alle vittime viene chiesto di contattare gli estorsori tramite le piattaforme qTOX o Jabber. Viene inoltre richiesto di provare la decrittazione gratuita dei dati. Le vittime sono libere di inviare 2 file bloccati di formato .jpg, .xls, .doc o simili ad eccezione dei database (massimo 2 MB di dimensione). Ciò dovrebbe dimostrare la capacità di decrittazione ed elevare la fiducia delle vittime. Nonostante ciò, è comune vedere molti criminali informatici ingannare le proprie vittime anche dopo aver ricevuto il riscatto. Pertanto, pagare il riscatto è pieno di rischi che dovrebbero essere presi in considerazione da chiunque sia stato infettato da malware.