Ransomware

GREEDYFATHER to rodzaj ransomware, złośliwego oprogramowania, które szyfruje dane na komputerze ofiary i żąda okupu za ich odszyfrowanie. W tym artykule szczegółowo opisano oprogramowanie ransomware GREEDYFATHER, jego metody infekcji, dodawane rozszerzenia plików, stosowane szyfrowanie, generowaną przez niego notatkę z żądaniem okupu oraz potencjalne narzędzia i metody deszyfrowania. GREEDYFATHER Ransomware dołącza plik .GREEDYFATHER rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o nazwie 1.jpg zostanie przemianowany na 1.jpg.GREEDYFATHER. Konkretny algorytm szyfrowania używany przez ransomware GREEDYFATHER nie jest wyraźnie wymieniony w wynikach wyszukiwania. Jednak oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, takie jak AES (Advanced Encryption Standard) lub RSA (Rivest-Shamir-Adleman) do szyfrowania plików. Te metody szyfrowania są praktycznie nie do złamania bez prawidłowego klucza deszyfrującego. Po zaszyfrowaniu plików GREEDYFATHER tworzy żądanie okupu o nazwie GREEDYFATHER.txt w każdym katalogu zawierającym zaszyfrowane pliki. Notatka zapewnia ofiarę, że zaszyfrowane pliki można odzyskać i instruuje ją, aby wysłała atakującym kilka zablokowanych plików w celu testowego odszyfrowania. Ostrzega również przed korzystaniem z bezpłatnych narzędzi deszyfrujących.

Ljaz Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi. Następnie atakujący żądają okupu, często w formie kryptowaluty, w zamian za dostarczenie klucza lub narzędzia deszyfrującego niezbędnego do odblokowania zaszyfrowanych plików. Ljaz Ransomware dodaje .ljaz rozszerzenie pliku do zaszyfrowanych plików. Ljaz Ransomware tworzy notatkę z żądaniem okupu w pliku tekstowym o nazwie _readme.txt. Ta notatka zazwyczaj zawiera instrukcje dotyczące zapłacenia okupu w celu uzyskania klucza lub narzędzia deszyfrującego. Rodzina STOP/Djvu Ransomware wykorzystuje algorytm szyfrowania Salsa20 do szyfrowania plików ofiary. Wykorzystuje również szyfrowanie RSA, które jest jedną z najczęściej używanych metod szyfrowania przez grupy ransomware. Ransomware rozpoczyna swój łańcuch wykonawczy od kilku poziomów zaciemniania, których celem jest spowolnienie analizy kodu przez analityków zagrożeń i zautomatyzowane piaskownice.

Ljuy Ransomware to rodzaj złośliwego oprogramowania należący do rodziny Djvu. Jego celem jest infiltracja systemu komputerowego, szyfrowanie plików, a następnie żądanie okupu za odszyfrowanie tych plików. Ransomware wykorzystuje solidny algorytm szyfrowania znany jako Salsa20, który jest powszechny wśród wszystkich innych członków rodziny ransomware STOP/Djvu. Po wejściu do systemu ransomware Ljuy szyfruje pliki i dołącza swoje rozszerzenie (.ljuy) do nazw plików. Na przykład to się zmienia 1.jpg do 1.jpg.ljuy, 2.png do 2.png.ljuy, i tak dalej. Ransomware Ljuy tworzy plik tekstowy o nazwie _readme.txt, który służy jako żądanie okupu. Ta notatka zawiera dane dotyczące płatności i dane kontaktowe. Informuje ofiarę, że jej pliki, w tym zdjęcia, bazy danych, dokumenty i inne istotne dane, zostały zaszyfrowane przy użyciu silnego algorytmu i można je odzyskać jedynie poprzez zakup narzędzia deszyfrującego.

BuLock Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze lub w sieci ofiary, czyniąc je niedostępnymi. Następnie napastnicy żądają od ofiary okupu w zamian za klucz deszyfrujący umożliwiający odblokowanie plików. Ransomware jest również znane jako wirus kryptograficzny lub narzędzie do blokowania plików ze względu na jego możliwości szyfrowania. BuLock Ransomware dodaje .bulock16 rozszerzenia plików, które szyfruje. Cyfra w rozszerzeniu może się różnić w zależności od wariantu oprogramowania ransomware. BuLock Ransomware wykorzystuje kombinację algorytmów kryptograficznych RSA i AES do szyfrowania plików. Są to niezawodne metody szyfrowania, które utrudniają odszyfrowanie plików bez określonego klucza deszyfrującego. BuLock Ransomware tworzy notatkę z żądaniem okupu o nazwie HOW_TO_BACK_FILES.html. Ta notatka informuje ofiarę, że jej sieć została naruszona, a jej pliki zaszyfrowane. Ostrzega również, że napastnicy wydobyli z sieci poufne dane, które grożą sprzedażą lub wyciekiem do Internetu, jeśli okup nie zostanie zapłacony. Notatka oferuje również ofierze możliwość przetestowania odszyfrowania 2-3 plików przed zapłaceniem okupu.

Hhaz Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane użytkownika, czyniąc je niedostępnymi. Jest to wariant powiązany z rodziną ransomware Djvu. Ransomware zmienia nazwy plików poprzez dodanie rozszerzenia .hhaz rozszerzenie i tworzy plik tekstowy o nazwie _readme.txt który zawiera żądanie okupu. Na przykład ulega przemianie 1.jpg najnowszych 1.jpg.hhaz, 2.png najnowszych 2.png.hhaz, i tak dalej. Ransomware Hhaz wykorzystuje algorytm szyfrowania Salsa20. Jeśli Hhaz nie może nawiązać połączenia ze swoim serwerem przed rozpoczęciem procesu szyfrowania, używa klucza offline. Klucz ten jest taki sam dla wszystkich ofiar i potencjalnie umożliwia w przyszłości odszyfrowanie plików .hhaz. Notatka z żądaniem okupu gwarantuje docelowej osobie, że jej zablokowane pliki można odzyskać, zdobywając narzędzie deszyfrujące i określony klucz. Koszt odszyfrowania danych wynosi 980 dolarów, przy czym dostępna jest 50% zniżka, jeśli ofiary skontaktują się z ugrupowaniami zagrażającymi w ciągu 72 godzin. W notatce podkreślono całkowitą niemożność odzyskania danych bez dokonania określonej płatności.

Hhuy Ransomware jest odmianą cieszącej się złą sławą rodziny ransomware STOP/DJVU. Szyfruje obrazy, dokumenty i inne ważne pliki na zainfekowanych komputerach, czyniąc je niedostępnymi. Następnie oprogramowanie ransomware żąda okupu, zwykle w wysokości od 490 do 980 dolarów, płatnego w Bitcoinach, za odszyfrowanie plików. Ransomware Hhuy atakuje szeroką gamę rozszerzeń plików, w tym między innymi .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .pdf i .psd. Po zaszyfrowaniu pliku ransomware dołącza rozszerzenie .hhuy rozszerzenie nazwy pliku, uniemożliwiające otwarcie go w żadnym programie. Ransomware Hhuy wykorzystuje algorytm szyfrowania Salsa20. Chociaż nie jest to najsilniejsza metoda, nadal zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących, dzięki czemu ataki brute-force są praktycznie niemożliwe przy obecnej technologii komputerowej. Po pomyślnym zaszyfrowaniu ransomware Hhuy tworzy notatkę z żądaniem okupu o nazwie _readme.txt. Notatka ta zazwyczaj zawiera instrukcje dotyczące zapłacenia okupu wraz z danymi kontaktowymi osób atakujących, zwykle w postaci adresów e-mail.

Nbwr Ransomware to rodzaj złośliwego oprogramowania szyfrującego pliki, należącego do rodziny Djvu. Jest to złośliwe oprogramowanie, które szyfruje dane użytkownika, czyniąc je niedostępnymi. Ransomware modyfikuje nazwy plików, dołączając rozszerzenie .nbwr rozszerzenie i generuje plik tekstowy (_readme.txt) zawierający żądanie okupu. Notatka z żądaniem okupu zapewnia ofiarę, że zaszyfrowane pliki można odzyskać, kupując narzędzie do odszyfrowania i unikalny klucz. Cena za odszyfrowanie danych jest zwykle wysoka i dostępna jest 50% zniżka, jeśli skontaktuje się z cyberprzestępcami w ciągu 72 godzin. Ransomware Nbwr wykorzystuje algorytm szyfrowania Salsa20. Ta metoda zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących, dzięki czemu ataki metodą brute-force są praktycznie niemożliwe. Notatka z żądaniem okupu zapewnia ofiarę, że zaszyfrowane pliki można odzyskać, kupując narzędzie do odszyfrowania i unikalny klucz.

GrafGrafel to rodzaj ransomware, złośliwego oprogramowania, które szyfruje dane i żąda okupu za ich odszyfrowanie. Jest częścią rodziny ransomware Phobos. Ransomware GrafGrafel atakuje zarówno pliki lokalne, jak i udostępniane w sieci, pozostawiając nienaruszone krytyczne pliki systemowe. Gdy ransomware GrafGrafel infekuje komputer, szyfruje pliki i zmienia ich nazwy. Do oryginalnych tytułów dołączony jest unikalny identyfikator przypisany ofierze, adres e-mail cyberprzestępcy oraz a .GrafGrafel rozszerzenie. Na przykład plik o początkowej nazwie 1.jpg pojawiłby się jako 1.jpg.id[G7RF34WQE-5687].[GrafGrafel@tutanota.com].GrafGrafel po szyfrowaniu. Specyficzny algorytm szyfrowania używany przez ransomware GrafGrafel jest jeszcze nieznany. Jednak oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, które można odblokować jedynie za pomocą kodu deszyfrującego znanego tylko atakującemu. Po zakończeniu procesu szyfrowania ransomware GrafGrafel tworzy notatki z żądaniem okupu w wyskakującym okienku (info.hta) i pliki tekstowe (info.txt). Notatki te są umieszczane w zaszyfrowanych katalogach i na pulpicie.