I virus

Gpay è noto come un programma dannoso che esegue la crittografia sicura dei dati sui dati archiviati utilizzando gli algoritmi AES-256, RSA-2048 e CHACHA. I criminali informatici monetizzano il loro software chiedendo alle vittime di pagare per la decrittazione dei dati. Prima di farlo, le vittime sono in primo luogo confuse sui cambiamenti improvvisi nell'aspetto dei file. Questo perché Gpay rinomina tutti i file crittografati con il .gpay estensione. Per illustrare, un file come 1.pdf sarà modificato in 1.pdf.gpay al termine della crittografia. Dopo aver individuato questo cambiamento, le vittime troveranno anche un file chiamato !!!HOW_TO_DECRYPT!!!.mht all'interno di tutte le cartelle infette. Il file porta a una pagina web che mostra le istruzioni per il riscatto. Si dice che puoi inviare fino a 3 file per testare le loro capacità di decrittazione gratuitamente. Questo può essere fatto inviando i tuoi file con ID personale agli indirizzi email gsupp@jitjat.org e gdata@msgden.com. Lo stesso dovrebbe essere fatto per richiedere l'indirizzo di pagamento e acquistare gli strumenti di decrittazione. A meno che tu non lo faccia entro 72 ore, è più probabile che i criminali informatici pubblicheranno i dati dirottati su piattaforme legate alla darknet. Questo è il motivo per cui rimanere intrappolati da Gpay è estremamente pericoloso in quanto esiste un'enorme minaccia alla privacy. A seconda di quale sarà il prezzo della decrittazione dei dati, le vittime possono decidere se ne hanno bisogno o meno.

Portato alla luce da MalwareHunterTeam, Lato oscuro è un programma dannoso che crittografa dati preziosi per richiedere denaro alle vittime. Tutte le reti correlate con dati che sono state esposte a questo virus verranno scansionate e bloccate dall'accesso regolare. Proprio come altre infezioni ransomware, DarkSide aggiunge un'estensione univoca alla fine di ogni file crittografato. Per essere più specifici, aggiunge l'ID personale generato casualmente per ciascuna delle vittime. Per illustrare, è più probabile che i tuoi file cambino da 1.xlsx a 1.xlsx.d0ac7d95, o in modo simile a seconda dell'ID che ti è stato assegnato. Quindi, non appena questa parte del processo è terminata, i criminali informatici creano una nota di testo con le istruzioni di decrittografia (LEGGIMI.[ID_vittima].TXT).

Sviluppato dal Makop Ransomware famiglia, mammone è un virus pericoloso che esegue la crittografia dei dati per obiettivi monetari. Questo perché crittografa i dati personali con algoritmi di livello militare e richiede che le vittime paghino un riscatto di denaro. Per dimostrare che i tuoi dati sono stati limitati, gli estorsori aggiungono una stringa di simboli a ciascun nome di file (inclusi caratteri casuali, indirizzo e-mail dei criminali informatici e .mammona estensione). Per illustrare, il file originale come 1.pdf cambierà il suo aspetto in qualcosa di simile 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon. Come risultato di questa modifica, gli utenti non saranno più in grado di accedere al file. Per ottenere istruzioni sul recupero dei dati, i criminali informatici creano una nota di testo chiamata readme-warning.txt in ogni cartella con dati crittografati.

Essere parte di Phobos Ransomware famiglia, Calvo è un altro programma dannoso che crittografa i dati personali. Il modo in cui lo fa è utilizzando algoritmi di livello militare per cifrare i file. Oltre a ciò, il virus assegna anche una stringa di simboli a ciascuno dei file. Ciò include un ID personale delle vittime, la posta elettronica dei criminali informatici e .calvo estensione per terminare la stringa. Ad esempio, un file come 1.pdf verrà infettato e modificato in 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo. La stessa modifica accadrà al resto dei dati memorizzati su un PC. Non appena questa parte dell'infezione si conclude, Calvo crea due note di riscatto (info.hta ed info.txt) per guidarti attraverso il processo di decrittazione.

Sviluppato da Phobos famiglia, xHamster è un'infezione di tipo ransomware, che esegue la crittografia dei dati. Tale non esegue la crittografia unidirezionale, invece, offre di sbloccare i dati infetti in cambio del riscatto di denaro. Quando si tratta di crittografia dei dati, i criminali informatici sono solitamente le uniche figure in grado di sbloccare i tuoi dati. Questo è il motivo per cui si offrono di acquistare il loro software che ti aiuterà a riottenere l'accesso ai dati. Prima di entrare nei dettagli, è importante menzionare il modo in cui XHAMSTER crittografa i tuoi dati. Oltre a bloccare l'accesso, aggiunge anche una stringa di simboli composta dall'ID della vittima, dal nome utente di ICQ Messenger e .XHAMSTER estensione alla fine di ogni file. Per illustrare, un dato come 1.pdf sarà cambiato in qualcosa di simile 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER alla fine della crittografia. Infine, una volta terminato questo processo, il virus crea due file contenenti istruzioni di riscatto. Mentre uno di loro ha chiamato info.hta viene visualizzato come una finestra proprio di fronte agli utenti, l'altra denominata info.txt risiede sul desktop della vittima.

qlocker è un'infezione ransomware individuata durante l'attacco e la crittografia dei dati su QNAP NAS (Network Attached Storage). Il virus scricchiola attraverso problemi di sicurezza, crittografa i dati memorizzati e cancella le tracce del registro durante il processo. Questo, quindi, aiuta gli intrusi a coprire la loro attività e impedire alle persone di rilevare la fonte dell'infezione. Qlocker usa il corto . 7z estensione per evidenziare i dati bloccati. Molto interessante è che Qlocker non tocca i file multimediali come video o musica nella maggior parte dei casi. Il suo obiettivo principale sembra essere documenti e tipi di dati simili che potrebbero essere valutati dalle vittime. Durante la crittografia, tutti i dati perderanno l'accesso e cambieranno il nome in qualcosa di simile 1.pdf.7z. Quindi, al termine di questo processo, il virus crea una nota di testo chiamata !!! READ_ME.txt e contenente istruzioni per il riscatto. La nota dice che tutti i file sono stati crittografati. L'unico modo possibile per recuperare i file è acquistare la chiave privata (in BTC) archiviata sui server dei criminali informatici. Per fare ciò, agli utenti viene chiesto di seguire la pagina Tor e di inserire la cosiddetta "chiave client". Una volta visitata la pagina, sarai in grado di elaborare il pagamento e ricevere gli strumenti di recupero. Diverse vittime hanno riferito costi diversi delle chiavi, ma, in media, questo importo può arrivare fino a 1000 $. Sfortunatamente, fidarsi dei criminali informatici significa correre un rischio enorme. Possono truffarti e non inviare alcuno strumento promesso dopo aver eseguito il trasferimento. Inoltre, non è consigliabile fidarsi di alcuni servizi di recupero dati che affermano di avere un modo per decrittografare i dati. Nota che non esiste uno strumento ufficiale che possa sbloccare l'accesso ai file crittografati da Qlocker in questo momento.

Encrpt3d (aka BiancoNeroCripta) è classificato come un programma dannoso che mira a un vantaggio monetario decrittografando i dati personali. Il ransomware potrebbe essere il malware più pericoloso che può entrare nel tuo sistema. Il suo scopo principale è bloccare l'accesso a file importanti ed estorcere denaro a utenti (o aziende) disperati che desiderano decrittografare i propri dati. Encrpt3d fa esattamente lo stesso, crittografa vari tipi di dati aggiungendo l'estensione .encrpt3d estensione a ogni file. Ad esempio, un file come 1.pdf verrà infettato e diventerà 1.pdf.encrpt3d. Successivamente, Encrpt3d Ransomware visualizza un'immagine a schermo intero che indica le istruzioni per il riscatto (evidenziate in rosso). È impossibile rimuoverlo a meno che gli utenti non eliminino il programma di malvertising alla fine. Nella richiesta di riscatto, i criminali informatici affermano che i tuoi file sono crittografati, ma è comunque possibile accedervi di nuovo. Per fare ciò, gli sviluppatori allegano un indirizzo BTC in attesa di ricevere 10 BTC dalle vittime. Ti viene data una scadenza specifica per completare il trasferimento. Quindi, dopo aver effettuato con successo il pagamento, gli utenti devono informare gli estorsori tramite whiteblackgroup002@gmail.com or wbgroup022@gmail.com indirizzo email.

Bitcoin è una popolare famiglia di ransomware che conta diverse versioni dal 2017. Il ransomware sviluppato da questo gruppo di criminali informatici si è evoluto utilizzando algoritmi più potenti e sicuri. Poiché esistono molte versioni di Btcware, il mondo ha visto molti tipi di crittografia nel corso della sua esistenza. Ad esempio, le versioni precedenti utilizzavano i vecchi algoritmi RC4, fino all'ascesa di AES-192 e AES-256 nei campioni successivi. La stessa storia va con le estensioni. Ogni versione di Btcware comporta un'estensione nuova di zecca diversa dalle altre. Tradizionalmente, una volta completata la crittografia, i programmi ransomware creano un file di note di testo contenente le istruzioni per recuperare i dati. Il nome di una nota dipende anche da quale versione è stata lanciata sul tuo sistema, ma di solito lo è #_HOW_TO_FIX _ !. hta or LEGGIMI.txt. All'interno di questa nota, i criminali informatici usano introduzioni goffe apparentemente intese a spiegare cosa è successo. Quindi, chiedono di contattarli tramite e-mail allegate per entrare in ulteriore contatto. Una volta terminato, gli utenti riceveranno una serie di istruzioni per acquistare il software di decrittazione. Alcune versioni di Btcware richiedono 0.5 BTC per la crittografia dei dati. Se non hai questi soldi per pagare, c'è la possibilità che gli estorsori ti minaccino di perdita permanente o abuso di dati inappropriato. Nella maggior parte dei casi, i file crittografati con algoritmi AES sono difficili da decrittografare a meno che non si acquisti la chiave privata detenuta dagli stessi criminali informatici.