ランサムウェア

スーパースーソ は、強力な暗号化アルゴリズムを使用して、ユーザーが自分のデータにアクセスできないようにするランサムウェアプログラムです。 このような変更は、暗号化されたファイルを回復するために、いわゆる身代金を支払うように人々を刺激することを目的としています。 被害者は、割り当てられた新しい拡張子によるファイルの暗号化について学習します。 SUPERSUSO開発者は .ICQ_SUPERSUSO ブロックされたすべてのデータの名前を変更する拡張機能。 たとえば、次のようなファイル 1.pdf 〜に変わります 1.pdf.ICQ_SUPERSUSO 元のアイコンをリセットします。 同じことが、システム全体でブロックされたすべてのデータに適用されます。 この後、SUPERSUSOはという名前のテキストファイルを発行します ＃Decrypt＃.txt 回復手順を説明します。 最初に、被害者はPC、Android、またはIOS用のICQソフトウェアをインストールし、メモに記載されているサイバー犯罪者の受信者アドレスに書き込むように指示されます。 ICQは、サイバー犯罪者が被害者との匿名の通信を確立するために使用する、信頼性が高く正当なメッセンジャーです。 被害者が72時間以内に開発者に連絡しなかった場合、侵害された情報が収集され、ダークネット市場に漏洩します。

シャシャ は、データを暗号化して変更するランサムウェアウイルスの名前です。 シャシャ 拡大。 新しい拡張機能は暗号化の本質的な部分ではなく、ブロックされたデータを強調することを目的とした視覚的な側面です。 この拡張機能がこのようなほとんどのデータに割り当てられている場合 1.pdf.shasha、そしてあなたは間違いなくランサムウェアに感染しています。 ファイルへのアクセスをブロックした後の開発者の次のステップは、ファイルを元に戻す方法を説明することです。 このため、Shashaウイルスを担当するサイバー犯罪者は、というテキストメモを作成します READ_ME.txt デスクトップの壁紙を変更します。 このメモの中で、強奪者はあなたのファイルを解読できるのは彼らだけだと主張しています。 より正確には、データのロックを解除できる秘密鍵と復号化ソフトウェアを保持しているものです。 犠牲者はBTCで50ドルでそれを購入するように要求されます。 支払いは、メモに添付されているビットコインアドレスを介して送信する必要があります。 残念ながら、サイバー犯罪者が購入した復号化ソフトウェアをどのように送信するかは非常に不確実です。

コモンランサム は、感染したデバイスに保存されているデータを暗号化して、その返品に対する支払いを要求するランサムウェアウイルスとして分類されます。 このバージョンは、という名前のマルウェア研究者によって発見されました マイケル・ギレプシー。 多くのランサムウェア感染と同様に、CommonRansomは、ブロックされたデータを強調表示するために独自の拡張機能を割り当てます。 CommonRansomによって暗号化されたすべてのデータは、ここでこのファイルのように変更されます- 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom。 この後、ウイルスによって開始するために残されたもうXNUMXつのことは、身代金メモの作成です。 メモの名前は 復号化.txt そしてそれは感染したファイルで各フォルダに置かれます。 このメモによると、被害者は12時間前にデータの復号化を要求できます。そうしないと、データを返す機会がなくなります。 電子メールアドレスでサイバー犯罪者に連絡するときに使用する必要があるテンプレートもあります。 添付のテンプレートは、被害者にPC RDPポート、システムへのログインに使用されるパスワードとともにユーザー名、および概説された暗号アドレスに0.1 BTCを支払った時刻を書き込むように要求するため、実際には非常に疑わしいものです。

ギジェブ は、データ暗号化を実行して被害者から金銭を強要するランサムウェアウイルスです。 これはKeq4pランサムウェアと非常によく似ています。つまり、同じマルウェアファミリーに由来する可能性があります。 と同じように ケク4p、Gyjeb Ransomwareは、無意味な記号のランダムな文字列を独自の記号とともに割り当てます .gyjeb 拡大。 説明のために、「1.pdf」のようなファイルはその外観を次のように変更します 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb 元のアイコンをリセットします。 すべてのファイルがこのように編集された後、ウイルスは次のようなテキストメモを作成します nTLA_HOW_TO_DECRYPT.txt これには復号化の指示が伴います。 以下のスクリーンショットで、このメモに慣れることができます。

ケク4p は、暗号化アルゴリズムを使用して個人データを暗号化するランサムウェア感染です。 これらのアルゴリズムは、データを復号化する試みから強力なデータ保護を保証します。 ランサムウェアによって攻撃されるファイルは通常、写真、ビデオ、音楽、ドキュメント、および何らかの価値を伴う可能性のあるその他の種類のデータです。 ほとんどのファイル暗号化機能は、独自の拡張子を割り当てることにより、影響を受けるすべてのファイルを変更します。 Keq4pはまったく同じことを行いますが、ランダムな記号の文字列も付加します。 たとえば、次のようなファイル 1.pdf 次のようなものに変わります 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p または類似。 割り当てられた文字列は完全にランダムであり、実際の目的はありません。 視覚的な変更に加えて、Keq4pは暗号化プロセスを終了します。 zB6F_HOW_TO_DECRYPT.txt、身代金の指示を含むテキストファイル。 次のスクリーンショットで、内容を詳しく見ることができます。

ハイドラ は、徹底的な暗号化を実行することでユーザーのデータにアクセスできなくなるランサムウェア感染です。 データにアクセスできないことに加えて、ユーザーは視覚的な変化にも気付く可能性があります。 Hydraは、サイバー犯罪者の電子メールアドレス、各被害者に割り当てられたランダムに生成されたID、および .ヒドラ 最後に拡張子。 説明のために、次のようなファイル 1.pdf 外観をに変更します [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA 元のアイコンを空白にリセットします。 すべてのファイルが暗号化されるとすぐに、ウイルスは被害者に回復プロセスを案内するための身代金の指示を促進します。 これは内部にあります ＃FILESENCRYPTED.txt 暗号化後に作成されるテキストメモ。 Hydraの開発者は、被害者は添付の電子メールアドレスに書き込むことでファイルを復元できると述べています（HydaHelp1@tutanota.com or HydraHelp1@protonmail.com）。 この後、サイバー犯罪者はファイルの復号化を購入するためのさらなる指示を与える必要があります。

デルタプラス は、暗号化アルゴリズムを使用して個人データを暗号化するランサムウェアタイプのウイルスです。 サイバー犯罪者自身が保有する特別な復号化ツールなしでは解読が難しい強力な暗号を割り当てます。 これらのツールを購入するには、被害者はBTCで6,000米ドル相当を暗号アドレスに送信する必要があります。 感染後3,000時間以内に支払いを完了した場合、復号化の価格も72米ドルに引き下げられる可能性があります。 この情報はすべて、と呼ばれるテキストノート内に開示されています Files.txtの復元にご協力ください、ファイルの暗号化が行われるとすぐに作成されます。 DeltaPlusは 。デルタ 影響を受けるすべてのファイルの拡張子。 たとえば、次のようなファイル 1.pdf 〜に変わります 1.pdf.delta 元のアイコンを失います。 これらの変更後、ユーザーは必要な身代金を支払うまでファイルにアクセスできなくなります。

Tomas Meskauskasによって発見されたKoxicは、PCに保存されたデータを暗号化することによって動作するランサムウェア感染であると判断されています。 つまり、写真、ビデオ、音楽、ドキュメントなどのファイルの大部分は、ユーザーがそれらにアクセスできないようにするためにウイルスによってブロックされます。 暗号化されたすべてのファイルも新しくなります .KOXIC or .KOXIC_PLCAW 拡張機能。 これは、次のような暗号化されたファイルを意味します 1.pdf 〜に変わります 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW。 同じパターンが、ランサムウェアによって暗号化された残りのデータに適用されます。 暗号化を行った後、ウイルスは身代金の指示を説明するテキストメモを作成します。 これらの指示では、被害者は次の方法で開発者に連絡する必要があると述べています koxic@cock.li or koxic@protonmail.com 個人IDが記載された電子メール。 このIDは身代金メモに添付されています。 そのようなものが表示されない場合は、システムに侵入したKoxic Ransomwareの一部のバージョンがまだ開発中であり、テストされている可能性があります。