Ho riscontrato varie minacce nel mondo digitale, e uno che recentemente ha attirato la mia attenzione è il virus WISZ. Questo particolare ceppo rientra nella famiglia di ransomware STOP/Djvu ed è diventato una minaccia notevole a causa delle sue tattiche aggressive contro i PC Windows. Approfondiamo i meccanismi del ransomware WISZ, il suo impatto sui tuoi file, e il pericolo che rappresenta per l'integrità dei dati.
Virus WISZ
Il ransomware WISZ è un tipo di software dannoso progettato con un obiettivo in mente: per dirottare i tuoi file utilizzando un sofisticato metodo di crittografia noto come Salsa20. Questa non è una crittografia qualsiasi; è uno standard di livello militare, una volta applicato, rende i tuoi file completamente inaccessibili. Ma WISZ non si ferma qui. È progettato per superare le difese antivirus e cancellare eventuali backup esistenti, lasciando le vittime in una posizione precaria.
Una volta che WISZ prende piede, inizia la sua furia di crittografia, prendendo di mira i file essenziali, siano essi documenti di Word, Fogli di calcolo Excel, o foto personali. Ogni file interessato viene quindi marchiato con l'estensione “.ti appendi” estensione. Per esempio, “foto.jpg” verrebbe trasformato in “foto.jpg.wisz,” un chiaro indicatore della presenza del ransomware. Accanto a questo processo di crittografia, Il ransomware WISZ lascia il segno rilasciando una richiesta di riscatto, giustamente chiamato _readme.txt, in ogni cartella che contiene i file ora crittografati. Questa nota è essenzialmente il biglietto da visita del criminale informatico, dettagliando l'attacco e fornendo istruzioni per inviare un pagamento di riscatto per riottenere l'accesso ai tuoi file.
Questo post offre approfondimenti sul comportamento del malware WISZ e ne guida la rimozione dai sistemi infetti. Inoltre, discute varie strategie per il ripristino dei file a seguito di un attacco ransomware.
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
You can get and look video overview decrypt tool:
https://we.tl/t-hPAqznkJKD
Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@freshingmail.top
Reserve e-mail address to contact us:
datarestorehelpyou@airmail.cc
Your personal ID:
Ransomware WISZ condivide le stesse abitudini con la maggior parte degli altri STOP/Djvu ransomware esempi. Questa famiglia è apparsa 2018 e contabilizzato Sopra 70% di tutti gli attacchi ransomware sugli individui. È un trendsetter nel suo settore e ha un sacco di caratteristiche tipiche qualsiasi altro gruppo ransomware che attacca singoli utenti. Somma del riscatto, modalità di notifica, precauzioni adottate per evitare l'utilizzo del backup – tutte queste cose ora sono le stesse ovunque. Ma inizialmente sono apparsi grazie al ransomware Djvu.
Come ho ottenuto il malware WISZ?
La stragrande maggioranza dei malware che attaccano singoli utenti adottano le stesse tattiche di diffusione. STOP/Djvu ransomware, in particolare la variante WISZ, non è un'esclusione. I modi più comuni di diffusione sono diversi crack del software, programmi senza licenza, e strumenti dubbi da Internet. In particolare, applicano la tattica di creare un sito monouso in cui vengono pubblicati articoli attualmente popolari. Nuovi film Marvel, nuovi giochi, o strumenti per Windows 11 Attivazione – la base per un tale manichino appare quotidianamente. Le tecniche di spam nella ricerca aumentano i risultati di ricerca di questa pagina, rendendolo il più popolare nelle relative richieste. Un collegamento per il download diretto o torrent contiene il payload sullo stesso sito.
I criminali informatici che distribuiscono questo ransomware inizialmente iniettano il malware downloader, che funge da precursore per ulteriore malware. Esso disabilita i meccanismi di sicurezza che possono potenzialmente fermare il ransomware o rendere difficile infettare il sistema. Disabilitare Windows Defender, applicare alcune modifiche alla rete, e l'adeguamento delle Politiche del Gruppo. L'ultima azione viene eseguita per limitare l'esecuzione dei file di installazione dei programmi, generalmente – soluzioni antivirus.
Processo di crittografia dei virus WISZ
il ransomware continua a modificare il sistema dopo essere stato iniettato con il downloader. In particolare, Il ransomware WISZ disabilita i metodi di backup più diffusi (Copie shadow del volume e backup di OneDrive). Blocca l'accesso a determinati siti Web in cui la vittima può trovare la soluzione. Dopo di che, ransomware avvia il processo di crittografia. Secondo il codice dei campioni STOP/Djvu trapelati, esegue la cifratura in modo graduale. Primo, il ransomware esegue la scansione delle cartelle sul disco. Se rileva i file può cifrarli, si connette al server, richiede la chiave di crittografia, e avvia la crittografia. Quando il processo sarà finito, risale al processo di scansione.
Il meccanismo di crittografia utilizzato dal ransomware WISZ è AES-256. Questo standard è adottato da molte tecnologie di sicurezza. Per esempio, il tuo traffico viene crittografato con quel codice quando sei connesso al sito Web tramite una connessione HTTPS. Non è il più forte, ma non puoi decrittografarlo sui computer moderni. Con la crittografia end-to-end nella fase di connessione al server utilizzato da questo ransomware, è impossibile intercettare la chiave di decrittazione. Ciò nonostante, ciò non significa che non puoi recuperare i tuoi file.
Il ransomware WISZ completa l'ultima parte della crittografia. Applica molte altre azioni per fornire una maggiore persistenza. Il file eseguibile originale viene clonato in un file directory molto lontana da quelle tipiche scelto dal malware. Directory Temp o ProgramFiles vengono controllati anche dagli antivirus più semplici, quindi il ransomware colloca i suoi file in luoghi più profondi e meno familiari.
Rimozione del ransomware WISZ
Il ransomware si distingue come una delle forme di malware più complesse e dannose, presentando sfide significative nel rilevamento e nella rimozione. Virus WISZ mostra specificamente una propensione a ostacolare l'esecuzione degli eseguibili dei programmi di sicurezza, complicando il processo di rimozione. Questo ostacolo, Tuttavia, non è proattivo e può essere risolto dopo la crittografia, richiedendo un'attenzione meticolosa durante la rimozione per aggirare tali barriere. È fondamentale dare priorità alla rimozione del virus come passaggio iniziale, poiché qualsiasi azione successiva potrebbe essere annullata dall’annullamento delle modifiche apportate dal ransomware.
Per un'efficacia di rimozione ottimale, prendere in considerazione l'utilizzo di Loaris Trojan Remover, uno strumento leader nella rimozione di malware rinomato per le sue robuste funzionalità. Questa applicazione vanta un meccanismo di scansione avanzato composto da tre moduli distinti progettati per identificare in modo completo le varianti di ransomware. In particolare, la sua funzione di scansione personalizzata consente agli utenti di esaminare rapidamente directory specifiche, garantendo un esame approfondito in un tempo minimo.
Inoltre, la protezione dal ransomware implica misure proattive:
- Aggiornare regolarmente i sistemi operativi e il software di sicurezza per correggere le vulnerabilità.
- Prestare attenzione quando si aprono allegati e-mail o si fa clic su collegamenti sospetti.
- Implementare solidi protocolli di sicurezza informatica, compresa la protezione firewall e i sistemi di rilevamento delle intrusioni.
- Adotta una strategia di backup completa per mitigare i rischi di perdita di dati.
- Educare gli utenti sulla consapevolezza del ransomware e sulle pratiche di prevenzione.
Adottando un approccio articolato che comprenda sia misure di prevenzione proattive che strategie di riparazione reattive, individui e organizzazioni possono rafforzare le proprie difese contro la minaccia pervasiva del ransomware.
È importante ricordare che per aggirare il ransomware che blocca l'avvio dei file esecutivi è necessario l'avvio in modalità provvisoria con rete. È possibile scaricare il programma di installazione prima o dopo l'avvio – non avrà alcuna importanza.
Per avviare il PC in modalità provvisoria, è necessario aprire il pannello Risoluzione dei problemi. Premi Win → Alimentazione, e quindi fare clic sul pulsante Riavvia tenendo premuto il tasto Maiusc. Dopo di che, vedrai la schermata Risoluzione dei problemi. Vai a Impostazioni di avvio → Windows 10 Modalità provvisoria con rete. Premi Invio e attendi il caricamento del sistema.
Modalità provvisoria in Windows presuppone che il sistema venga caricato senza determinati moduli, in particolare – i programmi di avvio e una parte delle Politiche di Gruppo. Questa modalità è utile per la rimozione del malware poiché impedisce l'avvio di programmi non elencati come sistemi e blocca la maggior parte delle restrizioni implementate dal malware.
Rimuovi il ransomware con Loaris Trojan Remover
Quando il PC viene avviato in modalità provvisoria, avviare il file di installazione di Loaris e attendere l'installazione del programma. Potrebbero essere necessari diversi minuti. Dopo di che, il programma ti offrirà per attivare una prova gratuita. Questa azione è consigliata poiché consente di utilizzare tutte le funzionalità di Trojan Remover. Inserisci semplicemente il tuo indirizzo email e ricevi un codice di prova gratuito.
Quando viene attivata la prova, avviare la scansione completa. Potrebbe durare per 20-30 minuti, quindi mantieni la pazienza. Puoi utilizzare il tuo computer durante questa operazione senza alcuna restrizione.
Dopo la scansione, vedrai l'elenco delle minacce rilevate. Per impostazione predefinita, il programma designa le azioni adatte per ogni rilevamento. In particolare, per il virus WISZ, è una rimozione. Tuttavia, puoi gestire queste azioni facendo clic sull'etichetta a destra del rilevamento se ritieni che alcuni elementi rilevati possano richiedere un'azione diversa.
Come decifrare i file WISZ?
Quello è non puoi fare molto con i file crittografati dal ransomware WISZ se tutto è stato eseguito correttamente. Questo malware presuppone l'uso di due tipi di chiavi – online e offline. Il primo è quello principale, ed è utilizzato nella maggior parte dei casi. Consiste in 256 simboli ed è unico per ogni vittima. Virus WISZ lo riceve dal server dei comandi ogni volta che tenta di cifrare un'altra cartella nel file system. Tuttavia, quando non riesce a connettersi al server – perché non funziona o ci sono problemi di connettività – i file vengono cifrati con una chiave offline. La chiave offline è sempre unica per ogni variante, in questo modo tutte le vittime i cui file sono stati crittografati con la chiave offline possono essere salvate.
Emsisoft offre uno strumento per decrittografare i file dopo l'attacco STOP/Djvu. Il team dello sviluppatore raccoglie le chiavi offline e online trapelate. È 100% gratuito da usare poiché l'azienda svolge questa azione su base volontaria.
Decripta i tuoi file con Emsisoft Decryptor per STOP Djvu
Scarica e installa Emsisoft Decryptor per STOP Djvu dal sito Web dello sviluppatore. Poi, aprire l'applicazione ed effettuare alcune impostazioni primarie. È necessario specificare le cartelle in cui sono archiviati i file cifrati. Poi, puoi premere "Decrittografa" e guardare i risultati.
Durante il processo di decrittazione, puoi visualizzare determinati messaggi dal programma. Diamo un'occhiata:
-
☞ Impossibile risolvere il nome remoto
Quel messaggio indica l'errore nella risoluzione dei server Emsisoft’ DNS. Poiché il programma non porta il database delle chiavi e lo riceve dal cloud, ha bisogno di una connessione Internet stabile. In caso di questo errore, prova a reimposta il tuo file HOSTS e prova ancora.
-
☞ Nessuna chiave per l'ID online della nuova variante: [la tua carta d'identità]
Avviso: Questo è un ID online. La decrittazione è impossibile.
Lo scenario peggiore – hai i tuoi file cifrati con la chiave online. È unico per ogni vittima. Quindi non è possibile decrittografare i file con lo strumento Emsisoft.
-
☞ Nessuna chiave per l'ID offline della nuova variante: [esempio di identificazione]
Questo ID sembra essere un ID offline. Perciò, la decrittazione potrebbe essere possibile in futuro.
La nota a piè di pagina di questo messaggio spiega molto. Sei abbastanza fortunato poiché i tuoi file sono stati crittografati con un ID offline, ma non è ancora trapelata alcuna chiave per il tuo caso. Mantieni la pazienza e aspetta. La chiave potrebbe apparire tra diverse settimane.
-
☞ Errore: Impossibile decrittografare il file con ID: [la tua carta d'identità]
Questo messaggio significa che il programma Emsisoft non è riuscito a trovare la chiave corrispondente al tuo caso. Ancora, questa non è la situazione peggiore – potrebbe ancora apparire in futuro.
Recupera i tuoi file con gli strumenti di recupero file
Il decryptor che ho descritto sopra non è l'unica opzione per recuperare i file. A causa dell'algoritmo specifico applicato dal ransomware durante il processo di crittografia, , è possibile recuperare i file con strumenti di recupero file. Consiglierò PhoroRec come soluzione gratuita ed efficace.
STOP/Djvu ransomware non crittografa il file esatto. Copia il documento originale, lo cifra, quindi cancella l'originale e lo sostituisce con una copia crittografata. Nel frattempo, le tecniche di archiviazione dei file consentono di recuperare i file cancellati dal disco. Eliminare i file dal sistema operativo di solito significa eliminare le informazioni sulla posizione dei file sul disco dal file system. Allo stesso tempo, il disco conserva ancora i residui del file – finché la zona corrispondente non sarà riempita con l'altra, convalidato dal file system.
PhotoRec è uno strumento che cerca queste parti residue di file e le recupera. Può estrarre il resto dei file che hai eliminato in precedenza, ma è molto meglio recuperare i tuoi dati importanti ed eliminare i file in eccesso. Vediamo come utilizzarlo correttamente.
Utilizzo di PhotoRec per recuperare file .WISZ
Scarica PhotoRec dal sito ufficiale. È gratuito e diffuso insieme agli altri strumenti di questo sviluppatore – Disco di prova. Dal momento che è portatile, non è necessario installarlo – Appena decomprimere l'archivio scaricato e aprire la cartella. Dentro, trova il file qphotorec_win.exe e avvialo.
Nel programma, è necessario eseguire la configurazione prima di ogni scansione del disco. Primo, scegli il disco o la partizione che desideri scansionare dal menu a discesa nella parte superiore della finestra. Poi, è necessario specificare la cartella per i file recuperati. Si consiglia di scaricare tutti i file recuperati su un'unità flash USB. Finalmente, è necessario specificare i formati di file che si desidera ripristinare. PhotoRec recupera Sopra 400 formati diversi, ma optare per tutti aumenterà notevolmente il tempo di scansione. Si consiglia di aderire solo per i tipi di file necessari.
Domande frequenti
🤔Come decrittografare l'ID del ransomware online?
Purtroppo, non è possibile decrittografare l'ID online in modo regolare. La crittografia WISZ ransomware utilizza troppo dura; decodificarlo con i computer moderni richiederà milioni di anni. Il modo più promettente per recuperare i tuoi file in caso di ID online è utilizzare gli strumenti di recupero file, come mostrato sopra.
🤔Devo pagare per il ransomware?
Potrebbe sembrare una soluzione ovvia, ma è una cattiva idea. Primo, pagando il riscatto, sponsorizzi automaticamente i truffatori, la loro attività, e l'apparecchio per il denaro che riceveranno (di solito l'attività fuorilegge simile). L'altro problema è che gli operatori di ransomware non sono sempre onesti e potrebbero chiederti di pagare ancora una volta per ottenere la chiave di decrittazione. Dal punto di vista legale, sei chiaro, ma ci sono abbastanza principi morali per sfondare.
🤔Come proteggersi dal ransomware?
Il ransomware è un malware estremamente pericoloso, quindi metodi preventivi, così come i modi per annullare l'attacco, deve essere applicato anch'esso. La maggior parte degli attacchi avviene tramite siti falsi, dove vengono diffusi programmi hackerati o filmati camrip. In alcuni rari casi, i truffatori diffondono il loro ransomware offrendo file dannosi su vari forum o chat. Tagliare queste fonti, cioè., evitando questi file, è il modo migliore per ridurre il rischio di ransomware di ordini di grandezza.
Anche affrontare le conseguenze dell’attacco ransomware deve essere un motivo di preoccupazione. Il backup regolare dei dati risolverà il problema dell'accessibilità dei dati dopo l'attacco. L'utilizzo del software speciale che sincronizzerà i tuoi dati con l'archiviazione nel cloud dopo ogni giornata lavorativa ridurrà il ritardo per il backup. Nel frattempo, i metodi di backup standard, come OneDrive o copie shadow del volume, sono inefficaci poiché il ransomware li disabilita anche prima della crittografia.
🤔Loaris è in grado di decrittografare i file WISZ?
Loaris Trojan Remover è in grado solo di rimuovere il ransomware WISZ e riparare il tuo PC dopo l'attacco. Non è uno strumento di decrittazione e non ha alcuna capacità per ripristinare il processo di cifratura. Per provare a decrittografare i file, utilizzare lo strumento di decrittazione offerto.
🤔I file WISZ sono pericolosi?
Sono gli stessi file che vedevi sul tuo disco. L'unica cosa che è stata modificata dal ransomware è la cifratura dell'intestazione del file, che contiene le informazioni chiave affinché il file system possa riconoscerlo e leggerlo. Complessivamente, non sono infetti, come nel caso di un attacco di virus informatico – hanno appena ricevuto un'alterazione dannosa. Puoi tenerli sul tuo disco senza alcuna preoccupazione per la sicurezza del tuo PC.
Questo articolo mira a far luce sul comportamento del malware WISZ e offre indicazioni su come sradicarlo dai sistemi infetti. Inoltre, esploreremo strategie praticabili per ripristinare i file in seguito a un attacco ransomware, sottolineando che ogni speranza non è perduta nemmeno in situazioni apparentemente terribili.