Nome del Virus

Estensione aggiunta dal Virus

Soluzione

Synack

Questo ransomware aggiunge al nome/estensione originale, una propria estensione composta da 11 caratteri alfabetici casuali. Esempio :

Fattura.doc.zyMvfwUlAEZ

File richiesta riscatto :
==READ==THIS==PLEASE==xxxxxxxx.txt

Dove xxxxxxxx sono lettere e numeri casuali.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Good

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione comosciuta finora, è : .Good

File richiesta riscatto :
HOW_TO_RECOVER_FILES.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Ryuk

Questo ransomware aggiunge al nome/estensione originale, una propria estensione. L'estensione comosciuta finora, è : .RYK

File richiesta riscatto :
RyukReadMe.html

In alcuni casi, per alcuni tipi di files di dimensione superiore a 500Mb, è possibile recuperarne in gran parte il contenuto (Es: Database SQL, Files .ZIP, Files Video, Files di posta elettronica .PST, Ecc...). In tutti gli altri casi, tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Buddy/Matrix

Questo ransomware modifica il nome originale, con la seguente struttura, aggiungendo la  propria estensione. Ad oggi le estensioni conosciute, sono : .BDDY , .MMTR

[Indirizzo Email].[8 Caratteri casuali - 8 Caratteri casuali].[Estensione aggiunta]

File richiesta riscatto :
#BDDY_README#
#MMTR_README#.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

MedusaLocker V.1

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].id[8 Caratteri casuali - 4 Caratteri casuali].[Indirizzo Email].[Estensione Aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .Devon

File richiesta riscatto :
info.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cryakl

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

< Versioni più datate >
[Nome Originale del File].[Estensione Originale del File] [Indirizzo Email] [10 cifre - 10 cifre].[Estensioni Aggiunte]

Il ransomware aggiunge differenti estensioni, composte da 3 caratteri. Es : .ang , .wrm , .uhe , .bpc , .cya Ecc...

< Versioni più recenti >
[Nome Originale del File].[Estensione Originale del File] [Indirizzo Email] [5 caratteri alfanumerici] .[8 cifre - 8 cifre]

La decriptazione per la maggior parte delle versioni, è possibile..

Maze

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Estensioni Aggiunte]

Il ransomware aggiunge differenti estensioni, composte da 6 o 7 caratteri. Es : .UvXwEVO , .se3g4d , .k9Uw4z , .rNrRZq , .jFiQqN Ecc...

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Makop

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Codice composto da 8 caratteri].[Indirizzo Email].[Estensione aggiunta]

Attualmente le estensioni aggiunte conosciute, sono : .CARLOS, .makop, .FAIR, .mkp

File richiesta riscatto :
readme-warning.txt
+README-WARNING+.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

HelpMe

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[id-(10 caratteri numerici)]_[indirizzo Email]

Attualmente l'indirizzo Email inserito nel nome del file criptato, è : email_info@cryptedfiles.biz

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Hydra

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente l'estensioni aggiunte conosciute sono : .enc , .HYDRA

File richiesta riscatto :
===HOW DECRYPT MY FILES===.txt

Nella maggior parte dei casi è possibile decriptare i files. Ultimamente per questo tipo di Virus, abbiamo ottenuto ottimi risultati. Per la restante parte,  l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

eCh0raix / QNAPCrypt

Questo è uno dei rari Ransomware che colpisce sistemi operativi Linux. Direttamente concepito per colpire i NAS della QNAP, sfruttando un Bug presente nel firmware.Attualmente l'estensione aggiunta conosciuta è : .encrypt

File richiesta riscatto :
README_FOR_DECRYPT.txt
README_FOR_DECRYPT.txtt

I dati colpiti da questo Ransomware, solo per alcune versioni, possono essere decriptati ma è necessario inviarci almeno un files standard (Es: .doc, .docx, .xls, .xlsx, .pdf, .jpg, Ecc..) criptato maggiore di 10Mb e il suo corrispondente non criptato, per permetterci di estrarre la chiave privata di decriptazione.Se la verifica di fattibilità sarà negativa attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

LockBit

Questo ransomware aggiunge al nome originale, una propria estensione,  con la seguente struttura :

[Nome Originale del File].[Estensione Originale del File].[Estensione aggiunta]

Attualmente l'estensione aggiunta conosciuta, è : .lockbit

File richiesta riscatto :
Restore-My-Files.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Phobos

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[NomeFileOriginario].[EstensioneOriginaria].id[8caratteri-4caratteri].[indirizzo email].[Estensione aggiunta]

Le estensioni aggiute e conosciute fino ad oggi, sono : .phobos , .help, .Adair, .eking, .eight, .Calum, .elder, .DLL, .ete, .DEAL, .ACUTE, .google

Il File di richiesta riscatto è un file denominato phobos.hta o info.txtx, oppure si riceve una Email con uno dei seguenti contenuti :

Hello mail, we would like to recover in our encrypted files. we attach a zip file containing files encrypted by you. we await your reply.
I found information about you in my database. You have id. xxxxxxxx The cost of decrypting data will be x.xx Bitcoin.

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: xxxxxx@xxxxx.xx. If we don't answer in 24h., send e-mail to this address: xxxxxx@xxxxxx.com

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail xxxxx@xxx.xx
Write this ID in the title of your message XXXXXXXX-XXXX
In case of no answer in 24 hours write us to this e-mail:xxxxx@xxxx.xx
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Bitpaymer / DoppelPaymer

Questo Ransomware aggiunge al nome originale una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .doppeled

File richiesta riscatto :
Per ogni file criptato, il Ransomware genera un file di testo con la richiesta di riscatto. Esempio :

File originale = Documento.pdf
File critpato = Documento.pdf.doppeled
File richiesta riscatto = Documento.pdf.how2decrypt.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Thanos / Hakbit

Questo ransomware aggiunge al nome/estensione originale, una propria estensione in uno dei due seguenti formati :

[Nome Originale del File].[Estensione Originale del File].[ID-<8 caratteri>].[Indirizzo Email].[estensione aggiunta]

o

[Nome Originale del File].[Estensione Originale del File].[ID-<8 caratteri>].[estensione aggiunta]

o

[Nome Originale del File].[Estensione Originale del File].[estensione aggiunta]

Attualmente l'estensioni aggiunte conosciute, sono : .BLOCK , [6 caratteri] , wrask

File richiesta riscatto :
RESTORE_FILES_INFO.txt
FILE RECOVERY INFORMATION.txt

I dati colpiti da questo Ransomware, possono essere decriptati ma, per alcune versioni, è necessario considerare che il processo di decriptazione di ogni singolo file, è abbastanza lungo. La chiave di decriptazione viene calcolata per ogni file e potrebbero essere necessari circa 10 minuti per ognuno. Per altre versioni del Ransomware la chiave è unica e pertanto il processo di decriptazione risulta veloce.

Qlocker

Questo è uno dei rari Ransomware che colpisce sistemi operativi Linux. Direttamente concepito per colpire i NAS della QNAP, sfruttando un Bug presente nel firmware. In pratica utilizza lo Snap In di 7zip per comprimere tutti i files, proteggendo il file compresso con una password.  Attualmente l'estensione aggiunta conosciuta è : .7z

File richiesta riscatto :
!!!READ_ME.txt

L'unico modo per poter recuperare i dati criptati da questo ransomware, è intervenire immediatamente mentre il processo è ancora in corso. In pratica è necessario, attraverso AnyDesk o TeamViewer, fornirci tempestivamente un accesso remoto ad un Pc dal quale è possibile collegarsi al NAS sotto attacco. Una volta connessi, inseriremo un codice particolare che ci permetterà di identificare la password che il Ransomware sta utilizzando per criptare i dati. Se il processo di criptazione del Ransomware è già terminato, purtroppo ad oggi non vi è alcuna possibilità di decriptare i dati. In questo caso l’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Mars

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .mars

File richiesta riscatto :
!!!MARS_DECRYPT.TXT

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

MedusaLocker V.2

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente le estensioni aggiunte conosciute sono : .exlock , .Readinstruction , .lockfile

File richiesta riscatto :
HOW_TO_RECOVER_DATA.html

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Crypt3r / Ghost / Cring

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .just4money

File richiesta riscatto :
HOW_CAN_RECOVERY.txt

Tentare il recupero per mezzo delle ShadowCopy è inutile in quanto il Virus le cancella e sovrascrive. Attualmente non esiste alcuna possibilità di decriptare i files. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Mallox

Questo ransomware aggiunge al nome originale, una propria estensione. Attualmente l'estensione aggiunta conosciuta è : .mallox

File richiesta riscatto :
RECOVERY INFORMATION.txt

E’ possibile decriptare i files

Wanna Scream

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[Nome Originale del File].[Estensione Originale del File].[ID-<8 caratteri>[Indirizzo Email].[estensione aggiunta]

Attualmente l'estensione aggiunta conosciuta è : .HPOT

File richiesta riscatto :
ReadMe.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

DeadBolt

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta è : .deadbolt

Gli attacchi sono iniziati il 25 gennaio, su alcuni dispositivi NAS della QNAP. Il produttore afferma essere una vulnerabilità zero-day nel software del dispositivo e consiglia eseguire aggiornamento all'ultima versione.. Gli utenti hanno improvvisamente trovato i file criptati. Invece di creare le classiche note di riscatto in ogni cartella del dispositivo, la pagina di accesso del dispositivo QNAP viene dirottata per visualizzare una schermata che indica "WARNING: Your files have been locked by DeadBolt".

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

0xxx

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta è : .0xxx

File richiesta riscatto :
!0XXX_DECRYPTION_README.TXT

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Zeppelin

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[Nome Originale del File].[Estensione Originale del File].[xxx-xxx-xxx] , dove x è un carattere alfanumerico.

File richiesta riscatto :
!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Hive

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[Nome Originale del File].[Estensione Originale del File].[xxxxxxxx]-[xxxxxxxx], dove x è un carattere alfanumerico.

File richiesta riscatto :
HOW_TO_DECRYPT.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Karmen

Questo ransomware aggiunge al nome/estensione originale, una propria estensione nel seguente formato :

[Nome Originale del File].[Estensione Originale del File].[xxx], dove x è un numero ad esempio .3301

File richiesta riscatto :
READ-ME-NOW.txt

I dati sono probabilmente decriptabili, ma è necessario inviarci dei files campione che in origine erano .DOC , .PDF , .XLS , o .ZIP . Analizzando questi files valuteremo se sarà possibile estrarre la chiave di criptazione.

Checkmate

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta è : .checkmate

E' un Ransomware direttamente concepito per colpire i NAS della QNAP connessi al web, con servizio SMB (Server Message Block) abilitato e account con password deboli. Il bollettino di sicurezza di QNAP è consultabile alla seguente pagina : https://www.qnap.com/en/security-advisory/QSA-22-21

File richiesta riscatto :
!CHECKMATE_DECRYPTION_README

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

N3ww4v3 / Mimic

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensioni aggiunte conosciute sono : .n3ww4v3 , .3kfAp , .fora , o da 5 a 7 caratteri casuali

File richiesta riscatto :
How-to-decrypt.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Venus / Goodgamer

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta é : .venus

File richiesta riscatto :
README.html

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Cylance

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta é : .cylance

File richiesta riscatto :
CYLANCE_README.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Akira

Questo ransomware aggiunge al nome/estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta é : .akira

File richiesta riscatto :
akira_readme.txt

I dati sono decriptabili

Medusa

Questo ransomware aggiunge al nome/estensione originale, una propria estensione, tipo indirizzo Email.

Attualmente l'estensione aggiunta conosciuta é : .cavallosucker@onionmail.org

File richiesta riscatto :
Cavallosucker_Decryption.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

LockBit 3.0 o
PC Locker 3.0

Questo ransomware aggiunge al nome /estensione originale, una propria estensione. L'estensione è coposta da 9 caratteri casuali.

Es : .srIQbay2j

File richiesta riscatto :
.README.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

N3ww4v3 o
Mimic

Questo ransomware aggiunge al nome /estensione originale, un indirizzo Email e una propria estensione.

Es : .serverdata@internet.ru.TET10000

File richiesta riscatto :
----Read-Me-----.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

RansomExx
(Variante per Linux)

Questo ransomware colpisce sistemi Linux e aggiunge al nome /estensione originale, una propria estensione. Attualmente l'estensione aggiunta conosciuta é : .GENaPrI

File richiesta riscatto :
!_WHATS_HAPPENED_!.txt

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

#magniber

Questo ransomware aggiunge al nome /estensione originale, una propria estensione.

Attualmente l'estensione aggiunta conosciuta é : .sezocobm

File richiesta riscatto :
READ_ME.htm

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

0XXX

Questo ransomware aggiunge al nome /estensione originale, la sua estensione .0XXX

File richiesta riscatto :
!0XXX_DECRYPTION_README.TXT

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.

Conti

Questo ransomware è una variante del Ransomware MIMIC e aggiunge al nome /estensione originale, un indirizzo Email e una propria estensione.

Attualmente l'estensione aggiunta conosciuta é : .payfast

Es : file.pdf[MIKAZEG@ONIONMAIL.ORG].payfast

File richiesta riscatto :
DECRYPT_NOTE.hta

Attualmente non è possibile decriptare i dati. L’unica alternativa è tentare la Ns. tecnica Signature Seeking, descritta sotto.