Ransomware

L00KUPRU Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi do czasu zapłacenia okupu. Ten wariant oprogramowania ransomware wpisuje się w szerszy trend cyberzagrożeń wykorzystujących szyfrowanie do wyłudzania pieniędzy od osób i organizacji. W tej analizie przyjrzymy się charakterystyce oprogramowania ransomware L00KUPRU, w tym jego mechanizmom infekcji, używanym rozszerzeniom plików, stosowanej metodzie szyfrowania, generowanemu przez niego żądaniu okupu oraz dostępnym opcjom odszyfrowania. Po infekcji ransomware L00KUPRU dołącza plik .L00KUPRU rozszerzenia plików, które szyfruje. To charakterystyczne rozszerzenie służy jako znacznik plików, których dotyczy problem, i sygnalizuje użytkownikowi, że jego dane zostały naruszone. Konkretny algorytm szyfrowania używany przez ransomware L00KUPRU nie jest znany, ale prawdopodobnie będzie to solidna metoda szyfrowania, której nie można łatwo złamać bez odpowiedniego klucza deszyfrującego. Ransomware L00KUPRU generuje żądanie okupu o nazwie HOW TO DECRYPT FILES.txt, który zawiera instrukcje dla ofiary dotyczące dalszego postępowania w sprawie płatności okupu. Notatka ta jest zwykle umieszczana na pulpicie użytkownika lub w katalogach zawierających zaszyfrowane pliki, aby mieć pewność, że ofiara ją zobaczy. Dodatkowo może pojawić się wyskakujące okienko z podobnymi informacjami, zachęcające użytkownika do podjęcia działań w celu odzyskania plików.

Rincrypt Ransomware to złośliwe oprogramowanie zaprojektowane do szyfrowania plików na komputerze ofiary, czyniąc je niedostępnymi do czasu zapłacenia okupu. Ten rodzaj cyberataku należy do szerszej kategorii oprogramowania ransomware, które stało się poważnym zagrożeniem dla osób, firm i organizacji na całym świecie. Rincrypt celuje w główne typy plików, aby je zaszyfrować i zażądać zapłaty za ich odszyfrowanie. Po infekcji Rincrypt rozpoczyna procedurę szyfrowania, celując w dokumenty, obrazy i inne krytyczne pliki danych. Dołącza cechę charakterystyczną .rincrypt rozszerzenie każdego zaszyfrowanego pliku, dzięki czemu można je łatwo zidentyfikować. Ransomware wykorzystuje kombinację symetrycznych i asymetrycznych algorytmów szyfrowania, które są bardzo bezpieczne i złożone. Ta metoda podwójnego szyfrowania zapewnia skuteczne blokowanie plików, a klucze deszyfrujące są generowane indywidualnie dla każdej ofiary. Po procesie szyfrowania Rincrypt Ransomware generuje notatkę z żądaniem okupu o nazwie READ THIS.txt lub wyświetla wyskakujące okienko z podobnym komunikatem. Notatka ta jest umieszczana na pulpicie lub w folderach zawierających zaszyfrowane pliki. Instruuje ofiary, jak kupić bitcoiny, skontaktować się z atakującym za pośrednictwem udostępnionych kanałów komunikacji i zapłacić okup, aby otrzymać klucz deszyfrujący. Należy jednak pamiętać, że zapłacenie okupu nie gwarantuje odzyskania zaszyfrowanych plików.

Uazq Ransomware to złośliwe oprogramowanie należące do kategorii oprogramowania szyfrującego ransomware. Jest częścią rodziny STOP/Djvu Ransomware, która działa od 2018 roku i znana jest z atakowania indywidualnych użytkowników. Podstawową funkcją Uazq Ransomware jest szyfrowanie plików na zainfekowanym komputerze, czyniąc je niedostępnymi dla użytkownika, a następnie żądając okupu za klucz deszyfrujący. Uazq Ransomware wykorzystuje algorytm szyfrowania Salsa20, który jest znany ze swoich silnych możliwości szyfrowania. Algorytm generuje ogromną liczbę możliwych kluczy deszyfrujących, co sprawia, że ​​próby złamania szyfrowania metodą brute-force są niepraktyczne. Do każdego zaszyfrowanego pliku ransomware dołącza plik .uazq rozszerzenie pliku, sygnalizując, że plik został naruszony. Po zaszyfrowaniu plików Uazq Ransomware tworzy notatkę z żądaniem okupu o nazwie _README.txt w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje dla ofiary, jak zapłacić okup i skontaktować się z atakującymi w celu uzyskania klucza deszyfrującego. Kwota okupu zazwyczaj waha się od 499 do 999 dolarów i jest płatna w Bitcoinach.

Kaaa Ransomware to złośliwe oprogramowanie zaprojektowane do szyfrowania plików na komputerze ofiary, czyniąc je niedostępnymi. Następnie napastnicy żądają od ofiary okupu w zamian za klucz deszyfrujący niezbędny do odblokowania plików. Kaaa jest identyfikowany jako część rodziny ransomware Stop/Djvu, znanej z szerokiego zasięgu i licznych wariantów. Po udanej infiltracji ransomware Kaaa rozpoczyna proces szyfrowania, którego celem jest szeroka gama typów plików. Dołącza .kaaa rozszerzenie każdego zaszyfrowanego pliku, dzięki czemu można je łatwo zidentyfikować. Na przykład plik o oryginalnej nazwie photo.jpg zostanie przemianowany na photo.jpg.kaaa po szyfrowaniu. Algorytm szyfrowania stosowany przez ransomware Kaaa to połączenie kryptografii symetrycznej i asymetrycznej, w szczególności wykorzystującej algorytmy ChaCha20 i RSA. To podwójne podejście zapewnia niezawodne szyfrowanie, przy czym algorytm RSA szyfruje klucz ChaCha20, co wymaga posiadania unikalnego klucza deszyfrującego w posiadaniu atakujących. Po zaszyfrowaniu plików ransomware Kaaa generuje notatkę z żądaniem okupu o nazwie _README.txt lub jego wariant, który jest umieszczany w każdym folderze zawierającym zaszyfrowane pliki.

Uajs Ransomware to złośliwe oprogramowanie należące do rodziny STOP/Djvu Ransomware, znanej z szerokiego wpływu na pliki użytkowników poprzez szyfrowanie ich i żądanie okupu za odszyfrowanie. Ten wariant oprogramowania ransomware wykorzystuje zaawansowane techniki infiltracji systemów komputerowych, szyfrowania plików i wyłudzania pieniędzy od ofiar. Zrozumienie jego działania, wpływu i możliwości odzyskiwania ma kluczowe znaczenie dla użytkowników, których to dotyczy, i specjalistów ds. cyberbezpieczeństwa. Po infekcji Uajs Ransomware inicjuje proces szyfrowania plików przy użyciu algorytmu szyfrowania Salsa20, który zapewnia szybkie i bezpieczne szyfrowanie plików ofiary. Jego celem jest szeroka gama typów plików, w tym dokumenty, obrazy, filmy i bazy danych, czyniąc je niedostępnymi dla użytkownika. Ransomware dołącza plik .uajs rozszerzenie nazw plików zaszyfrowanych, oznaczając je jako zaszyfrowane i odróżniając je od plików nienaruszonych. Po zaszyfrowaniu plików Uajs Ransomware generuje notatkę z żądaniem okupu o nazwie _README.txt i umieszcza go w folderach zawierających zaszyfrowane pliki. Ta notatka informuje ofiary o szyfrowaniu ich plików i zawiera instrukcje dotyczące kontaktowania się z cyberprzestępcami za pośrednictwem poczty elektronicznej. Zwykle żąda zapłaty w Bitcoinach za klucz odszyfrowujący niezbędny do odblokowania zaszyfrowanych plików. Wysokość okupu jest różna, ale często waha się od 490 do 980 dolarów, przy czym oferowana jest zniżka za szybką płatność.

Oprogramowanie ransomware w dalszym ciągu stanowi poważne zagrożenie w krajobrazie cyberbezpieczeństwa, a najnowszym przykładem tego złośliwego oprogramowania jest Zarik Locker. W tym artykule dokonano szczegółowej analizy Zarik Locker Ransomware, szczegółowo opisując mechanizmy infekcji, metody szyfrowania plików, charakterystykę żądania okupu, dostępność narzędzi do odszyfrowywania oraz wskazówki dotyczące postępowania z zaszyfrowanymi plikami. Po udanej infiltracji Zarik Locker szyfruje pliki ofiary przy użyciu solidnego algorytmu szyfrowania. Ransomware dodaje charakterystyczne rozszerzenie do nazw plików (.zarik5313), oznaczając je jako niedostępne. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.zarik5313 po szyfrowaniu. Ransomware Zarik Locker ogłasza swoją obecność poprzez zmianę tapety pulpitu i upuszczenie pliku tekstowego o nazwie @zarik decrypt0r@.txt na pulpicie ofiary. Tapeta i plik tekstowy służą jako żądanie okupu, informujące ofiarę, że jej pliki zostały zaszyfrowane i że w celu odzyskania dostępu wymagana jest płatność okupu. W żądaniu okupu zazwyczaj określa się żądaną kwotę (np. 300 dolarów) i zawiera instrukcje dotyczące skontaktowania się z atakującymi i przedstawienia dowodu płatności, takiego jak zrzut ekranu transakcji.

ALPHV (BlackCat) Ransomware to złośliwy program przeznaczony do szyfrowania danych w zainfekowanych systemach, uniemożliwiając użytkownikom dostęp do plików. Działa w modelu Ransomware-as-a-Service (RaaS), umożliwiając cyberprzestępcom wdrażanie oprogramowania ransomware przy jednoczesnym dzieleniu się częścią płatności okupu z programistami. Napisany w języku programowania Rust, ALPHV jest znany ze swojego wyrafinowania, oferując operatorom wysoki stopień dostosowania. Po infekcji ransomware ALPHV szyfruje pliki przy użyciu kombinacji algorytmów szyfrowania symetrycznego i asymetrycznego. Dołącza określone rozszerzenia do zaszyfrowanych plików, które mogą się różnić ze względu na naturę RaaS. Na przykład nazwy plików można zmienić za pomocą rozszerzeń takich jak .bzeakde, co oznacza, że ​​zostały zaszyfrowane. Ransomware wykorzystuje cztery różne procedury szyfrowania, co ukazuje jego wszechstronność i złożoność mechanizmu szyfrowania. Po zaszyfrowaniu ransomware ALPHV umieszcza w systemie ofiary notatkę z żądaniem okupu, zwykle nazwaną według wzorca zawierającego unikalne rozszerzenie pliku, np. GET IT BACK-[rozszerzenie_pliku]-FILES.txt (lub czasami RECOVER-UNIQUENUMBER-FILES.txt). Ta notatka zawiera instrukcje dla ofiary, jak zapłacić okup w zamian za klucz odszyfrowujący niezbędny do odblokowania jej plików.

HUNTER Ransomware stanowi ogromne wyzwanie w krajobrazie cyberbezpieczeństwa, charakteryzującym się wyrafinowanymi mechanizmami szyfrowania i agresywną taktyką mającą na celu naruszenie integralności systemu. Pochodzące z rodziny Phobos oprogramowanie HUNTER Ransomware szyfruje pliki w zainfekowanych systemach, dołączając do nazw plików charakterystyczne rozszerzenie (np. .docx.locked), czyniąc je w ten sposób niedostępnymi dla użytkowników. W tym artykule przedstawiono dogłębną analizę oprogramowania HUNTER Ransomware, koncentrując się na wektorach infekcji, metodologii szyfrowania, szczegółach żądania okupu i możliwościach odszyfrowania. Po udanej infiltracji HUNTER Ransomware inicjuje proces szyfrowania plików, atakując szeroką gamę typów plików, aby zmaksymalizować wpływ. Ransomware zazwyczaj dołącza niestandardowe rozszerzenie do zaszyfrowanych plików .HUNTER, co oznacza ich niedostępny status. To szyfrowanie zostało zaprojektowane tak, aby było niezawodne i wykorzystywało wyrafinowane algorytmy, aby skutecznie blokować użytkownikom dostęp do ich danych. Po zaszyfrowaniu HUNTER Ransomware generuje żądanie okupu na pulpicie ofiary (info.hta i info.txt), wyszczególniając wymagania dotyczące deszyfrowania plików. Cyberprzestępcy zazwyczaj żądają płatności w kryptowalutach, takich jak Bitcoin, wykorzystując anonimowość, jaką oferują te platformy. Notatka z żądaniem okupu zawiera instrukcje dotyczące sposobu dokonania płatności, często zawiera także termin, w którym można wywrzeć nacisk na ofiary, aby się do nich dostosowały. Należy pamiętać, że zapłacenie okupu nie gwarantuje odzyskania plików i może jeszcze bardziej ośmielić atakujących.