Ransomware

BlackDream Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane na komputerze ofiary i żąda zapłaty za ich odszyfrowanie. Został on odkryty przez badaczy podczas badania nowych zgłoszeń złośliwego oprogramowania do VirusTotal. Ransomware dołącza unikalny identyfikator, adres e-mail cyberprzestępców oraz plik .BlackDream rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o początkowej nazwie 1.jpg pojawiłby się jako 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. Po zakończeniu procesu szyfrowania zostanie wyświetlona notatka z żądaniem okupu pt ReadME-Decrypt.txt zostaje upuszczony. Ransomware BlackDream wykorzystuje nieokreśloną metodę szyfrowania plików. Notatka zapewnia ofiarę, że jej pliki nie zostały uszkodzone, ale zostały zaszyfrowane. Ostrzega, że ​​szukanie pomocy w odzyskaniu danych poza osobami atakującymi (tj. przy użyciu narzędzi lub usług stron trzecich) może sprawić, że danych nie będzie można odszyfrować. Z notatki wynika, że ​​odszyfrowanie będzie wymagało zapłacenia okupu w kryptowalucie Bitcoin, choć dokładna suma nie jest określona.

Zput to rodzaj oprogramowania ransomware należącego do rodziny ransomware Djvu. Jest to szkodliwy program przeznaczony do szyfrowania plików i żądania okupu za ich odszyfrowanie. Ransomware Zput atakuje różne typy plików, takie jak filmy, zdjęcia, dokumenty i inne. Zmienia strukturę pliku i dołącza rozszerzenie .zput rozszerzenia do każdego pliku, czyniąc je niedostępnymi i bezużytecznymi bez odszyfrowania. Na przykład plik o początkowej nazwie 1.jpg pojawia się jako 1.jpg.zput, 2.png, tak jak 2.png.zput, i tak dalej. Zput Ransomware wykorzystuje algorytmy szyfrowania Salsa20 do szyfrowania zawartości docelowych plików. Ta solidna metoda szyfrowania sprawia, że ​​wybranie klucza deszyfrującego bez współpracy z atakującymi jest dość trudne, jeśli nie niemożliwe. Po zaszyfrowaniu plików ransomware Zput upuszcza notatkę z żądaniem okupu zatytułowaną _readme.txt. Notatka ta informuje ofiarę, że jej dane zostały zaszyfrowane i że odzyskanie zablokowanych plików wiąże się z koniecznością spełnienia żądań atakującego – zapłacenia okupu w celu uzyskania klucza/oprogramowania deszyfrującego.

Zpww Ransomware to rodzaj złośliwego oprogramowania należący do rodziny STOP/Djvu. Jego głównym celem jest wyłudzenie pieniędzy od ofiar poprzez szyfrowanie ich plików i żądanie okupu za ich odszyfrowanie. Okup zazwyczaj waha się od 490 do 980 dolarów i jest płatny w Bitcoinach. Po udanej infiltracji Zpww Ransomware skanuje każdy folder w poszukiwaniu plików, które może zaszyfrować. Następnie tworzy kopię pliku docelowego, usuwa oryginał, szyfruje kopię i pozostawia ją w miejscu usuniętego oryginału. Do zaszyfrowanych plików dołączane jest określone rozszerzenie .zpww. Ransomware wykorzystuje algorytm szyfrowania Salsa20, który choć nie jest najsilniejszą metodą, nadal zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących. Po procesie szyfrowania Zpww Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt w folderze, w którym znajduje się zaszyfrowany plik.

Zpas to infekcja oprogramowaniem ransomware szyfrującym pliki należącym do rodziny ransomware STOP/DJVU. Ogranicza dostęp do danych, takich jak dokumenty, obrazy i filmy, szyfrując pliki za pomocą rozszerzenia .zpas rozszerzenie. Następnie oprogramowanie ransomware próbuje wyłudzić pieniądze od ofiar, prosząc o „okup”, zazwyczaj w postaci kryptowaluty Bitcoin, w zamian za dostęp do danych. Kiedy komputer zostaje zainfekowany oprogramowaniem ransomware Zpas, skanuje system w poszukiwaniu obrazów, filmów oraz ważnych dokumentów i plików związanych z produktywnością, takich jak .doc, .docx, .xls, .pdf. Po wykryciu tych plików ransomware je szyfruje i zmienia ich rozszerzenie, czyniąc je niedostępnymi. Ransomware Zpas wykorzystuje solidny szyfr - Salsa20, którego nie da się "zhakować". Gdy ransomware Zpas zaszyfruje pliki na komputerze, wyświetla notatkę z żądaniem okupu o nazwie _readme.txt na pulpicie. Żądanie okupu zawiera instrukcje, jak skontaktować się z autorami tego ransomware za pośrednictwem adresów e-mail support@fishmail.top i datarestorehelp@airmail.cc. Ofiary tego oprogramowania ransomware proszone są o kontakt z twórcami szkodliwego oprogramowania. Żądany okup waha się od 490 do 980 dolarów (w bitcoinach).

Halo Ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do szyfrowania danych i żądania okupu za ich odszyfrowanie. Dołącza .halo rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o początkowej nazwie 1.jpg pojawiłby się jako 1.jpg.halo. Po zaszyfrowaniu plików Halo Ransomware tworzy wiadomość z żądaniem okupu o nazwie !_INFO.txt. W notatce znajduje się informacja, że ​​pliki ofiary zostały zaszyfrowane i można je odzyskać jedynie po zapłaceniu okupu. Uwaga ostrzega przed zamykaniem systemu, zmianą nazw plików, próbami ręcznego odszyfrowania lub użyciem narzędzi do odzyskiwania innych firm, ponieważ może to spowodować, że danych nie będzie można odszyfrować. Konkretny algorytm szyfrowania plików używany przez Halo Ransomware nie jest znany. Jednak programy ransomware zazwyczaj używają symetrycznych lub asymetrycznych algorytmów kryptograficznych do szyfrowania plików.

Keylock Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i dołącza plik .keylock rozszerzenia nazw plików. Na przykład plik o oryginalnej nazwie 1.jpg pojawiłby się jako 1.jpg.keylock po szyfrowaniu. Po zakończeniu procesu szyfrowania Keylock tworzy wiadomość z żądaniem okupu zatytułowaną README-id-[nazwa użytkownika].txt (nazwa pliku różni się w zależności od nazwy użytkownika). Notatka z żądaniem okupu zawiera instrukcje, jak zapłacić okup, zwykle w Bitcoinach, aby uzyskać klucz odszyfrowujący i odzyskać dostęp do zaszyfrowanych plików. Ransomware Keylock wykorzystuje szyfrowanie AES, algorytm szyfrowania symetrycznego, do szybkiego szyfrowania plików. Żądanie okupu ostrzega przed zmianą nazwy, modyfikowaniem lub usuwaniem zaszyfrowanych plików, próbami ręcznego odszyfrowania lub korzystaniem z oprogramowania do odzyskiwania lub narzędzi antywirusowych innych firm, ponieważ działania te mogą spowodować trwałą utratę danych.

Itqw Ransomware to złośliwe oprogramowanie należące do rodziny ransomware STOP/Djvu. Jego celem są różne typy plików, takie jak filmy, zdjęcia, dokumenty i inne, szyfrując je i uniemożliwiając dostęp do nich. Ransomware Itqw szyfruje pliki przy użyciu silnego algorytmu szyfrowania i unikalnego klucza. Ransomware dołącza odrębny plik .itqw rozszerzenie każdego zaszyfrowanego pliku i żąda zapłaty okupu, zazwyczaj w formie kryptowaluty Bitcoin, w celu rzekomego odblokowania plików. Wysokość okupu może się różnić w zależności od konkretnego wariantu oprogramowania Itqw Ransomware. Itqw Ransomware tworzy żądanie okupu, plik o nazwie _readme.txt, który zawiera instrukcje, jak skontaktować się z atakującymi i zapłacić okup. Kwota okupu waha się od 490 do 980 dolarów w Bitcoinach.

Ithh Ransomware to odmiana rodziny ransomware Djvu, która szyfruje pliki na komputerze ofiary i dołącza .ithh rozszerzenia nazw plików. Na przykład to się zmienia 1.jpg do 1.jpg.ithh i 2.png do 2.png.ithh. Po zaszyfrowaniu plików Ithh Ransomware generuje notatkę z żądaniem okupu w pliku o nazwie _readme.txt. Napastnicy żądają zapłaty okupu, zwykle w kryptowalutach, w celu dostarczenia klucza deszyfrującego umożliwiającego przywrócenie dostępu do zaszyfrowanych plików. Jednak zdecydowanie odradza się płacenie okupu, ponieważ nie ma gwarancji, że osoby atakujące udostępnią narzędzia deszyfrujące. Żądanie okupu Ithh to wiadomość pozostawiona przez osoby atakujące Ithh Ransomware po zaszyfrowaniu plików ofiary. Notatka zazwyczaj zawiera informacje o ataku ransomware, instrukcje dotyczące zapłacenia okupu (490 lub 980 dolarów w kryptowalucie).