ウイルス

メモファイルの検索 は、2021年3月にビジネスユーザーの捜索を開始したランサムウェア感染の名前です。このタイプの他のマルウェアと同様に、開発者はAES+RSAアルゴリズムを使用して被害者のデータを暗号化します。 FindNoteFileは、XNUMXつの異なるバージョンで配布されていることがわかりました。 それらの唯一の大きな違いは、暗号化後にファイルに割り当てられた拡張子の名前です（.findnotefile, .findthenote ファイルまたは 。赤い点）。 たとえば、最初に呼び出されたファイル 1.pdf 外観をに変更します 1.pdf.findnotefile, 1.pdf.findthenotefileまたは 1.pdf.reddot システムを攻撃したバージョンによって異なります。 次に、暗号化が終了するとすぐに、ウイルスは次のようなテキストメモを作成します。 HOW_TO_RECOVER_MY_FILES.txt、身代金の指示が含まれています。 中に書かれている文章は間違いだらけですが、サイバー犯罪者が被害者に何を求めているのかは簡単に理解できます。

SLAM は、個人データを暗号化して絶望的なユーザーにお金を稼ぐランサムウェアタイプのウイルスです。 つまり、データへのアクセスを制限し、被害者が特定の身代金を支払うまでデータをロックしたままにします。 ユーザーが暗号化を見つけられるようにするために、開発者は、 .slam 拡大。 説明のために、次のようなファイル 1.pdf タイトルが変更されます 1.pdf.slam 元のアイコンをリセットします（場合によっては）。 次に、暗号化のこの部分が実行された後、SLAMはウイルスに関する情報を示すウィンドウを開きます。 黒の背景にある赤いテキストは、すべてのファイルが暗号化されていることを示しています。 それらを取り戻すために、被害者はメモに添付された電子メールの12つを使用してサイバー犯罪者に連絡するように求められます。 その後、身代金の送金を行うために必要な指示が与えられます。 それに加えて、ユーザーは、PCをシャットダウンしたり、Windowsアプリケーション（regedit、タスクマネージャー、コマンドプロンプトなど）を使用したりすることは禁止されていることを警告されます。 そうしないと、ウイルスが存在するまでPCがロックされ、起動が拒否されます。 あなたがXNUMX時間以内に強奪者に連絡しない限り、同じことが起こります。 調査のこの時点では、サイバー専門家は、サイバー犯罪者を巻き込むことなく、データの復号化を無料で提供できるツールをまだ見つけることができていません。 身代金を支払うこともリスクです。ファイルが返送される保証はないからです。 この状況での唯一の最善の方法は、SLAMランサムウェアを削除し、バックアップコピーを介してデータを回復することです。 感染前にそれらを作成して別の場所に保存していない場合、ファイルを復号化することはほとんど非現実的です。

イプシロンレッド は、感染したシステム上の個人データを標的とする別のランサムウェアタイプのウイルスです。 必要なデータの範囲（通常はデータベース、統計、ドキュメントなど）が見つかると、ウイルスはAES+RSAアルゴリズムを使用したデータ暗号化の実行を開始します。 すべてのファイルの名前が変更された後にのみ被害者が感染に気付くため、暗号化プロセス全体をすぐに見つけることは困難です。 それを説明するために、という名前のファイルを見てみましょう。 1.pdf、したがって、外観がに変更されました 1.pdf.epsilonred。 このような変更は、ファイルへのアクセスが許可されなくなったことを意味します。 機密データを追跡することに加えて、EpsilonRedは実行可能ファイルとDLLファイルの拡張子を変更し、それらが正しく実行できなくなる可能性があることも知られています。 このウイルスは、保護レイヤーをブロックし、イベントログをクリーンアップし、感染がシステムに侵入すると他のWindows機能に影響を与えるいくつかのファイルもインストールします。 暗号化の最後に、EpsilonRedはメモの中に提示された身代金の指示を提供します。 ファイルの名前は個別に異なる場合がありますが、ほとんどのユーザーは HOW_TO_RECOVER.EpsilonRed.txt & 身代金メモ.txt 暗号化後にテキストノートが作成されます。

Gペイ は、AES-256、RSA-2048、およびCHACHAアルゴリズムを使用して、保存されたデータに対して安全なデータ暗号化を実行する悪意のあるプログラムとして知られています。 サイバー犯罪者は、被害者にデータの復号化にお金を払うように依頼することで、ソフトウェアを収益化します。 そうする前に、被害者はまずファイルの外観の突然の変化について混乱します。 これは、Gpayがすべての暗号化ファイルの名前を .gpay 拡大。 説明のために、次のようなファイル 1.pdf に変更されます 1.pdf.gpay 暗号化が終了した後。 この変化を発見した後、被害者はまた、と呼ばれるファイルを見つけるでしょう !!!HOW_TO_DECRYPT!!!。mht 感染したすべてのフォルダ内。 このファイルは、身代金の指示を表示するWebページにつながります。 最大3つのファイルを送信して、それらの復号化機能を無料でテストできると言われています。 これは、個人IDのファイルをgsupp@jitjat.orgおよびgdata@msgden.comの電子メールアドレスに送信することで実行できます。 支払い先住所を請求し、復号化ツールを購入する場合も同じようにする必要があります。 72時間以内にそれを行わない限り、サイバー犯罪者はハイジャックされたデータをダークネット関連のプラットフォームに公開する可能性が高くなります。 これが、プライバシーの脅威が非常に大きいため、Gpayに閉じ込められることが非常に危険である理由です。 データ復号化の価格に応じて、被害者はそれが必要かどうかを判断できます。

によって明るみに出された MalwareHunterTeam, 暗黒面 は、被害者にお金を要求するために貴重なデータを暗号化する悪意のあるプログラムです。 このウイルスにさらされたデータを持つすべての関連ネットワークがスキャンされ、通常のアクセスがブロックされます。 他のランサムウェア感染と同様に、DarkSideは暗号化された各ファイルの最後に一意の拡張子を追加します。 具体的には、被害者ごとにランダムに生成された個人IDを追加します。 説明のために、ファイルがから変更されるのを見る可能性が高くなります 1.xlsx 〜へ 1.xlsx.d0ac7d95、または同様に、割り当てられているIDによって異なります。 次に、プロセスのこの部分が完了するとすぐに、サイバー犯罪者は復号化の指示を含むテキストメモを作成します（README。[victim's_ID].TXT).

によって開発された Makopランサムウェア 家族、 マンモン 金銭的な目的のためにデータ暗号化を実行する危険なウイルスです。 これは、軍用グレードのアルゴリズムを使用して個人データを暗号化し、被害者が金銭の身代金を支払うことを要求するためです。 データが制限されていることを示すために、強奪者は各ファイル名に一連の記号を追加します（ランダムな文字、サイバー犯罪者の電子メールアドレス、および .マモン 拡大）。 説明のために、元のファイルは次のようになります 1.pdf 見た目がこんな感じになります 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon。 この変更の結果、ユーザーはファイルにアクセスできなくなります。 データを回復するための指示を取得するために、サイバー犯罪者はというテキストノートを作成します readme-warning.txt 暗号化されたデータを含む各フォルダに。

の一部であること Phobos ランサムウェア 家族、 カルボ は、個人データを暗号化する別の悪意のあるプログラムです。 それを行う方法は、軍用グレードのアルゴリズムを使用してファイルを暗号化することです。 それに加えて、ウイルスは各ファイルに一連の記号を割り当てます。 これには、被害者の個人ID、サイバー犯罪者の電子メール、および .カルボ 文字列を終了するための拡張子。 たとえば、次のようなファイル 1.pdf 感染してに変更されます 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo。 PCに保存されている残りのデータにも同じ変更が行われます。 感染のこの部分が終了するとすぐに、CalvoはXNUMXつの身代金メモを作成します（info.hta & info.txt）復号化プロセスをガイドします。

によって開発された Phobos 家族、 XHAMSTER はランサムウェアタイプの感染であり、データの暗号化を実行します。 これは一方向の暗号化を実行せず、代わりに、金銭の身代金と引き換えに感染したデータのブロックを解除することを提案します。 データの暗号化に関しては、通常、サイバー犯罪者だけがデータのロックを解除できます。 これが、データへのアクセスを取り戻すのに役立つソフトウェアの購入を提案する理由です。 詳細に入る前に、XHAMSTERがデータを暗号化する方法について説明することが重要です。 アクセスをブロックするほかに、被害者のID、ICQ Messengerのユーザー名、および .XHAMSTER 各ファイルの最後にある拡張子。 説明のために、次のようなデータ 1.pdf このようなものに変更されます 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER 暗号化の最後に。 最後に、このプロセスが完了すると、ウイルスは身代金の指示を含むXNUMXつのファイルを作成します。 それらのXNUMXつが呼ばれている間 info.hta ユーザーの目の前にウィンドウとして表示され、もう一方の名前は info.txt 被害者のデスクトップに常駐します。