Ransomware

Blackoutware to rodzaj ransomware, złośliwego oprogramowania zaprojektowanego do szyfrowania danych i żądania okupu za ich odszyfrowanie. W tym artykule szczegółowo omówiono oprogramowanie Blackoutware Ransomware, jego metody infekcji, dodawane rozszerzenia plików, stosowane szyfrowanie, generowaną przez niego notatkę z żądaniem okupu oraz dostępne potencjalne narzędzia do odszyfrowania. Blackoutware Ransomware to wirus kryptograficzny, który szyfruje pliki na komputerze ofiary i dodaje do ich nazw rozszerzenie .blo rozszerzenie. Na przykład plik o początkowej nazwie 1.jpg pojawiłby się jako 1.jpg.blo. Po procesie szyfrowania zostanie wyświetlona notatka z żądaniem okupu pt !!!WARNING!!!.txt zostaje wrzucony do C:\Users[username] teczka. W żądaniu okupu stwierdza się, że pliki ofiary zostały zaszyfrowane i za ich odszyfrowanie należy zapłacić. Okup jest zazwyczaj żądany w kryptowalutach, takich jak Litecoin (LTC) lub Bitcoin (BTC), a kwota często podawana jest jako 5000 euro. Ofiara ma zwykle 72 godziny na dostosowanie się, a notatka ostrzega przed modyfikowaniem zaszyfrowanych plików lub używaniem narzędzi deszyfrujących innych firm, ponieważ może to spowodować trwałą utratę danych.

Gyza Ransomware to złośliwe oprogramowanie należące do STOP/Djvu rodzina ransomware. Jego celem są różne typy plików, szyfruje je i dołącza rozszerzenie .gyza rozszerzenie zaszyfrowanych plików, czyniąc je niedostępnymi. Po zaszyfrowaniu Gyza dostarcza notatkę z żądaniem okupu (_readme.txt) instruując ofiary, aby zapłaciły okup w celu uzyskania narzędzia deszyfrującego i unikalnego klucza umożliwiającego przywrócenie dostępu do ich plików. Ransomware wykorzystuje algorytm szyfrowania Salsa20 do szyfrowania plików. Notatka z żądaniem okupu instruuje ofiary, aby skontaktowały się z cyberprzestępcami za pośrednictwem support@freshmail.top or datarestorehelp@airmail.cc adresy e-mail. Kwota okupu waha się od 490 do 980 dolarów i jest płatna w Bitcoinach.

Gycc to odmiana oprogramowania ransomware powiązana z Djvu rodzina złośliwego oprogramowania. Celem tego złośliwego oprogramowania jest szyfrowanie plików na komputerze ofiary, czyniąc je niedostępnymi. Zaszyfrowane pliki są dołączane z rozszerzeniem .gycc rozbudowa. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.gycc. Ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, takie jak RSA lub AES, do blokowania plików ofiar. Po zaszyfrowaniu pliki można odblokować jedynie za pomocą klucza deszyfrującego znanego tylko atakującemu. Po zaszyfrowaniu plików ransomware Gycc pozostawia notatkę z żądaniem okupu o nazwie _readme.txt. Ta notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i zawiera instrukcje dotyczące sposobu skontaktowania się z atakującymi. Ofiary są zwykle proszone o skontaktowanie się z twórcami szkodliwego oprogramowania za pośrednictwem określonych adresów e-mail. Żądany okup może wynosić od 490 do 980 dolarów, zazwyczaj w kryptowalucie Bitcoin.

Danger Siker Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi. Dołącza .DangerSiker rozszerzenia nazw plików (np. 1.jpg staje się 1.jpg.DangerSiker). Ransomware zmienia tapetę pulpitu i tworzy notatkę z żądaniem okupu o nazwie mesajin_var_amcik.txt w języku tureckim, żądając zapłaty 0.5 XMR (kryptowaluta Monero) za odszyfrowanie plików. Notatka z żądaniem okupu instruuje ofiarę, aby nie podejmowała samodzielnych prób odzyskiwania plików, ponieważ może to pogorszyć sytuację. Po dokonaniu płatności ofiara jest proszona o wysłanie wiadomości e-mail na adres mesaezzoris@gmail.com. Poniżej znajduje się przykład wiadomości z żądaniem okupu.

Shanova Ransomware to złośliwy program oparty na Chaos Ransomware. Działa poprzez szyfrowanie danych na komputerze ofiary i żądanie zapłaty za ich odszyfrowanie. Ransomware dołącza plik .shanova rozszerzenie nazw plików zaszyfrowanych. Na przykład plik pierwotnie zatytułowany 1.jpg pojawiłby się jako 1.jpg.shanova. Konkretny algorytm szyfrowania używany przez ransomware Shanova nie został jeszcze ustalony, ale ransomware zazwyczaj wykorzystuje symetryczne lub asymetryczne algorytmy kryptograficzne. Po zaszyfrowaniu plików ransomware Shanova tworzy notatkę z żądaniem okupu zatytułowaną read_it.txt. Notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i że odszyfrowanie będzie wymagało zapłaty okupu. Uwaga ostrzega również przed próbami modyfikowania lub naprawiania zablokowanych plików, ponieważ może to spowodować, że nie będzie można ich odszyfrować.

Iicc Ransomware jest odmianą cieszącej się złą sławą rodziny ransomware STOP/DJVU. Jest to infekcja oprogramowaniem ransomware szyfrującym pliki, które ogranicza dostęp do danych, takich jak dokumenty, obrazy i filmy, szyfrując pliki i dołączając .iicc ich przedłużenie. Następnie oprogramowanie ransomware próbuje wyłudzić pieniądze od ofiar, prosząc o okup, zazwyczaj w postaci kryptowaluty Bitcoin, w zamian za dostęp do zaszyfrowanych danych. Gdy Iicc Ransomware infekuje komputer, skanuje w poszukiwaniu obrazów, filmów oraz ważnych dokumentów i plików związanych z produktywnością, takich jak .doc, .docx, .xls, .pdf. Po wykryciu tych plików ransomware szyfruje je przy użyciu algorytmu szyfrowania Salsa20. Po procesie szyfrowania ransomware upuszcza notatkę z żądaniem okupu o nazwie _readme.txt na pulpicie. Żądanie okupu zawiera instrukcje, jak skontaktować się z autorami tego ransomware za pośrednictwem support@freshmail.top i datarestorehelp@airmail.cc adresy e-mail. Żądany okup waha się od 490 do 980 dolarów w bitcoinach.

Eqew Ransomware to złośliwe oprogramowanie należące do rodziny Djvu/STOP. Jego głównym celem jest szyfrowanie plików na komputerze ofiary i żądanie okupu za ich odszyfrowanie. Ransomware dołącza plik .eqew rozszerzenie nazw plików, czyniąc je niedostępnymi bez unikalnego klucza deszyfrującego. Po zainstalowaniu ransomware Eqew nawiązuje połączenie ze swoim serwerem dowodzenia i kontroli kontrolowanym przez atakujących. Następnie szyfruje pliki przy użyciu silnego algorytmu szyfrowania i unikalnego klucza, „klucza offline” lub „klucza online”. Po procesie szyfrowania ransomware Eqew tworzy notatkę z żądaniem okupu o nazwie _readme.txt w każdym folderze zawierającym zaszyfrowane pliki. W żądaniu okupu stwierdza się, że pliki zostały zaszyfrowane i można je odszyfrować jedynie poprzez zakup narzędzia deszyfrującego i unikalnego klucza. Koszt zdobycia klucza prywatnego i oprogramowania do odszyfrowania wynosi 980 dolarów, ale jeśli ofiary skontaktują się z atakującymi w ciągu pierwszych 50 godzin, przysługuje 72% zniżki, co obniża cenę do 490 dolarów. Ofiary mogą komunikować się z cyberprzestępcami za pośrednictwem podanych adresów e-mail: support@freshmail.top i datarestorehelp@airmail.cc.

Pig865qq Ransomware to rodzaj wirusa, złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za ich odszyfrowanie. Jest to wariant związany z GlobeImposter rodzina ransomware. Gdy ransomware infekuje komputer, szyfruje pliki i dołącza rozszerzenie .Pig865qq ich przedłużenie. Na przykład to się zmienia 1.jpg do 1.jpg.Pig865qq, 2.png do 2.png.Pig865qq, i tak dalej. Szyfrowanie stosowane przez Pig865qq jest solidne, co znacznie utrudnia odszyfrowanie plików bez niezbędnych narzędzi deszyfrujących, którymi zazwyczaj dysponują osoby atakujące. Pig865qq tworzy notatkę z żądaniem okupu zatytułowaną HOW TO BACK YOUR FILES.exe. Notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i zawiera instrukcje dotyczące odszyfrowania. Kieruje osobę do kontaktu na podany adres e-mail, china.helper@aol.comi wyślij jeden zaszyfrowany obraz testowy, plik tekstowy lub dokument wraz ze swoim identyfikatorem osobistym. W notatce podkreślono wyłączność osób atakujących na usługi deszyfrowania, ostrzegając przed kontaktowaniem się z innymi usługami w ramach potencjalnego oszustwa. Odradza także próby samoodszyfrowania plików, twierdząc, że istnieje potencjalna utrata danych.