I virus

Scoperto da un ricercatore di malware di nome Glacio_, Armadietto Babuk (aka Armadietto Vasa, Armadietto Babyk, Armadietto Babuk) è un virus di tipo ransomware che prende di mira organizzazioni commerciali comprese iniziative imprenditoriali con fatturati pari a 4.000.000$. Tutto perché richiede un riscatto di 60000-85000$ in BTC da pagare in cambio dei dati crittografati. Per assicurarsi che le loro vittime non siano in grado di decifrarle in modo indipendente, i criminali informatici utilizzano una combinazione di algoritmi SHA252, ChaCha8 ed ECDH per eseguire la crittografia sicura. Gli sviluppatori di Babuk Locker eseguono estese campagne di distribuzione per coprire il maggior numero possibile di vittime. Questo è il motivo per cui è probabile che gli utenti vedano anche altre versioni derivate da Babuk Locker (es. Babyk, Vasa, ecc.). A seconda della versione che ha attaccato la rete compromessa, le vittime vedranno diverse estensioni applicate ai file crittografati. Normalmente, è .__NIST_K571__; .bambino, o .babuk assegnato a ciascun dato. Ad esempio, un file come 1.pdf memorizzato su un dispositivo affetto da malware, cambierà il suo aspetto in 1.pdf.__NIST_K571__, 1.pdf.babyk, o 1.pdf.babuk alla fine della crittografia. Quindi, non appena questa fase dell'infezione è terminata, il virus crea una nota di testo chiamata "Come ripristinare i tuoi file.txt" in ciascuna cartella con dati crittografati.

Neflim è un'infezione ransomware che crittografa i dati memorizzati sui dispositivi compromessi. In tal modo, i criminali informatici hanno una buona occasione per ricattare gli utenti affinché paghino il cosiddetto riscatto. Al momento sono note due forme del virus Neflim. Prima aggiunge il .neflim estensione, mentre un altro usa .f1 per rinominare i dati crittografati. Alcuni esperti tendono a classificare queste versioni come infezioni ransomware separate, ma sono entrambe parti della famiglia comune. Per illustrare come vengono modificati i file crittografati, diamo un'occhiata all'originale 1.pdf pezzo di dati. Alla fine della crittografia, cambierà in 1.pdf.neflim or 1.pdf.f1 a seconda di quali versioni hanno catturato i tuoi dati. Lo stesso modello di crittografia verrà applicato al resto dei file archiviati sul dispositivo. Non appena tutti i dati appaiono sotto la serratura dei truffatori, le vittime devono leggere le istruzioni sul recupero dei dati all'interno del NEFLIM-DECRYPT.txt or f1-AIUTO.txt gli appunti.

Alveare è un programma dannoso classificato come ransomware. Il suo scopo principale consiste nell'eseguire la crittografia dei file per ricattare gli utenti affinché paghino il riscatto. Questo riscatto è una certa quantità richiesta in cambio dei dati bloccati. Gli utenti possono notare che i loro file sono stati crittografati cambiando i loro nomi. In particolare, le vittime vedono una stringa casuale di caratteri insieme al along .alveare estensione assegnata a ciascun dato. Tale modifica rende i file crittografati, il che rifiuta l'accesso ad essi. Per recuperare l'accesso perso ai dati, gli utenti sono invitati a seguire i dettagli indicati all'interno di una nota di testo chiamata COME_TO_DECRYPT.txt. I criminali informatici informano le vittime colpite che la loro rete è stata dirottata, il che ha portato alla crittografia immediata dei dati. Per decifrare i file compromessi, le vittime devono contattare gli estorsori tramite il link allegato alla nota e acquistare il software di decrittazione. L'ultima cosa scritta dai criminali informatici è come evitare danni irreversibili ai dati. Dicono che è vietato eseguire qualsiasi manipolazione con i tuoi dati, ad esempio non chiudere intenzionalmente il PC, modificare o cambiare i nomi dei file, utilizzare software di terze parti e molti altri tentativi di cancellare la crittografia.

Poliex è un virus di tipo ransomware scoperto da un cacciatore di malware della Corea del Sud noto come dnwls0719. Allo stesso modo di altre infezioni di questo tipo, Poliex crittografa i dati personali per ricattare gli utenti affinché paghino il riscatto. Oltre a crittografare i file con algoritmi di livello militare, il virus aggiunge anche il .poliex estensione a ciascuno dei pezzi compromessi. Per illustrare, un file chiamato 1.pdf sperimenterà un cambiamento in 1.pdf.poliex e rilascia la sua icona originale alla fine della crittografia. Una volta applicate con successo tali modifiche, gli utenti perderanno l'accesso ai propri dati. Le istruzioni su come restituirlo sono riportate all'interno del README.txt nota, che viene creata al termine della crittografia. Non c'è troppo scritto dagli sviluppatori, eppure è abbastanza per capire cosa dovrebbero fare le vittime. Come dicono i criminali informatici, il prezzo di decrittazione è di 500$. Subito dopo questo messaggio gli estorsionisti allegano il loro indirizzo di telegramma. Per essere coinvolti in ulteriori conversazioni con i truffatori, gli utenti dovrebbero contattare i truffatori utilizzando l'app di Telegram. Dopo aver stabilito un contatto con loro, le vittime riceveranno quindi i dettagli di pagamento necessari per trasferire la somma di denaro richiesta. Sfortunatamente, ci sono pochi dati su come si comportano i criminali informatici durante la chat privata. Possono offrire di testare la decrittazione gratuita di alcuni file per elevare la fiducia delle vittime che esitano sulla loro affidabilità.

0xxx è un'infezione ransomware che crittografa vari dati utilizzando algoritmi AES+RSA su dispositivi NAS (Western Digital My Book). Questa misura viene eseguita per costringere le vittime a pagare il cosiddetto riscatto in cambio dei dati bloccati. Proprio come altri malware di questo tipo, 0xxx utilizza la propria estensione (.0xxx) per rinominare i dati. Ad esempio, un file intitolato come 1.pdf cambierà il suo aspetto in 1.pdf.0xxx dopo la crittografia. Tutte queste modifiche indicano che i tuoi dati non sono più accessibili. In altre parole, non c'è più modo di aprirlo. Per risolverlo, le vittime vengono chiamate a seguire le istruzioni di riscatto all'interno del !0XXX_DECRYPTION_README.TXT nota di testo. Questa nota viene rilasciata in ogni cartella contenente file crittografati. Si dice che le vittime possano decifrare i propri dati pagando un riscatto di 300 USD in Bitcoin. All'inizio, agli utenti viene chiesto di contattare i criminali informatici tramite e-mail. È necessario includere il tuo ID univoco insieme a 3 file per testare la decrittazione gratuita. Non appena viene stabilito il contatto con i criminali informatici, le vittime riceveranno i dettagli di pagamento per eseguire un trasferimento di denaro. Sebbene gli estorsori affermino di non avere intenzione di ingannarti, ci sono stati più casi in cui gli utenti non hanno ricevuto gli strumenti di decrittazione anche dopo il pagamento.

Prima di arrivare al trasloco, vale la pena sapere cosa Redeemer Ransomware in realtà lo è. È classificato come un virus di crittografia dei file che blocca l'accesso ai dati archiviati su un sistema compromesso. Per mostrare se è crittografato o meno, gli sviluppatori di Redeemer aggiungono il .redeem estensione a ciascuno dei file. Ad esempio, un file come 1.pdf cambierà il suo aspetto in 1.pdf.redeem e ripristina la sua icona originale. Il sistema non sarà più in grado di aprire i file mentre sono crittografati. Per restituire il controllo sui tuoi dati, è necessario acquistare uno speciale software di decrittazione insieme a una chiave univoca. Informazioni più dettagliate in merito possono essere trovate all'interno del Read Me.TXT nota, che viene creata al termine della crittografia. Appena sotto il logo del Redentore disegnato dai numeri, i criminali informatici chiedono agli utenti di pagare 20 criptovalute XMR (Monero), che sono circa 4000$ per la decrittazione dei dati. Una volta che sarai pronto a farlo, il passo successivo è contattare gli estorsori allegando la tua chiave di identificazione personale tramite il loro indirizzo e-mail (test@test.test). Ciò è necessario per ottenere l'indirizzo di pagamento per l'esecuzione di un trasferimento. Non appena riceveranno il tuo riscatto per la decrittazione, dovresti ricevere gli strumenti promessi per recuperare i tuoi dati.

Poteston è classificato come un'infezione ransomware che esegue la crittografia di database, foto, documenti e altri dati preziosi. L'intero processo di crittografia può essere facilmente individuato dagli utenti che cercano nuove estensioni assegnate ai file. Questo virus coinvolge il .potesto estensione per rinominare i dati memorizzati. Per illustrare, un file chiamato 1.pdf cambierà il suo aspetto in 1.pdf.poteston come risultato della crittografia. Non appena si noteranno questi cambiamenti, le vittime non saranno più in grado di accedere ai dati. Non appena si noteranno questi cambiamenti, le vittime non saranno più in grado di accedere ai dati. Per ripristinarlo, agli utenti vengono fornite istruzioni all'interno del readme.txt Nota. All'interno della nota, le vittime vengono accolte con cattive notizie: tutti i dati che abbiamo menzionato sopra sono stati crittografati. Per riscattarlo, alle vittime viene chiesto di contattare i criminali informatici utilizzando il loro indirizzo e-mail (recovery_Potes@firemail.de). Dopo aver stabilito un contatto con loro, ti verranno presumibilmente forniti i dettagli necessari per eseguire un trasferimento di denaro. Prima di farlo, ti viene anche offerto di inviare uno dei file bloccati per la decrittazione gratuita. Questo è un trucco usato da molti estorsionisti per elevare la fiducia delle vittime. In aggiunta a ciò, gli sviluppatori di Poteston informano anche di non rinominare i dati crittografati in quanto potresti potenzialmente danneggiare la sua configurazione.

MANSORY è un'infezione ransomware che esegue una crittografia vigorosa sui dati personali e aziendali. Questo processo coinvolge algoritmi crittografici insieme all'aggiunta di nuove estensioni. MANSORY utilizza il .MANSORIA estensione a ogni pezzo di file che è stato limitato. Ad esempio, un file come 1.pdf sarà cambiato in 1.pdf.mansory. Dopo aver sperimentato tali modifiche, i file bloccati non saranno più accessibili. Per riottenerne l'accesso, le vittime devono pagare un certo riscatto in denaro. Maggiori informazioni su questo sono presentate all'interno di una nota di testo chiamata MESSAGGIO-MANSORY.txt, che viene creato al termine della crittografia. La prima cosa che dicono i criminali informatici è che gigabyte di dati preziosi sono stati scaricati in un luogo sicuro. Gli estorsori lo usano come garanzia per intimidire gli utenti con la pubblicazione di dati nel caso in cui si rifiutino di pagare. Le vittime hanno il diritto di sapere quanti dati sono stati caricati dopo aver contattato i criminali informatici via e-mail (selawilsen2021@tutanota.com; dennisdqalih35@tutanota.com; josephpehrhart@protonmail.com). Pertanto, possono analizzare il valore dei dati che sono trapelati nelle mani degli estorsori. Come abbiamo già detto, non contattare i criminali informatici comporterà la pubblicazione graduale di dati che sono stati dirottati dalla tua rete. Per evitarlo, le vittime devono acquistare il software di decrittazione archiviato dagli stessi criminali informatici. Ciò ti consentirà anche di sbloccare tutti i dati bloccati. Oltre a ciò, gli sviluppatori di MANSORY Ransomware offrono di provare la decrittazione gratuita inviando 2 file casuali da altri computer alla loro e-mail.