Ransomware

Ransomware pozostaje poważnym zagrożeniem w cyberprzestrzeni, m.in Frea Ransomware to najnowszy przykład, który przykuł uwagę ekspertów ds. cyberbezpieczeństwa. W tym artykule szczegółowo omówiono oprogramowanie ransomware Frea, badając jego taktykę infekcji, zmiany wprowadzane w plikach, stosowane metody szyfrowania, pozostawioną przez siebie notatkę z żądaniem okupu, dostępność narzędzi deszyfrujących oraz potencjalne metody odszyfrowywania plików, których dotyczy problem. . Po infekcji ransomware Frea rozpoczyna szyfrowanie plików w całym systemie. Jego celem są różne typy plików, w tym potencjalnie dokumenty, obrazy i bazy danych. Po zaszyfrowaniu tych plików Frea dołącza plik .frea rozszerzenie nazw plików, sygnalizując, że zostały one naruszone. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.frea po szyfrowaniu. Ransomware Frea tworzy żądanie okupu o nazwie oku.txt które pozostają na pulpicie użytkownika lub w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje od osób atakujących, zazwyczaj żądających zapłaty okupu w zamian za klucz odszyfrowujący niezbędny do odblokowania plików. Oprócz szyfrowania plików i upuszczania notatki z żądaniem okupu, Frea zmienia także tapetę pulpitu, co jest typową taktyką stosowaną przez oprogramowanie ransomware w celu ostrzegania ofiary o infekcji i podkreślania pilności żądania okupu.

Dzen Ransomware to wariant złośliwego oprogramowania należący do kategorii kryptowirusów. Jako forma oprogramowania ransomware, jego podstawową funkcją jest infiltrowanie systemów komputerowych, szyfrowanie plików i żądanie okupu od ofiary w zamian za klucz deszyfrujący. Tego typu cyberatak może mieć niszczycielskie skutki zarówno dla osób fizycznych, jak i organizacji, prowadząc do utraty danych i szkód finansowych. Po udanej infiltracji Dzen Ransomware przystępuje do szyfrowania plików na zaatakowanym komputerze. Wykorzystuje solidny algorytm szyfrowania do blokowania plików, czyniąc je niedostępnymi dla użytkownika. Ransomware dołącza unikalne rozszerzenie .dzen do nazw wszystkich zaszyfrowanych plików, które zazwyczaj zawierają identyfikator ofiary. Na przykład plik o oryginalnej nazwie document.docx może zostać zmieniona nazwa na document.docx.[victim's_ID].[vinsulan@tutamail.com].dzen po szyfrowaniu. Dzen Ransomware tworzy żądanie okupu, które informuje ofiarę o szyfrowaniu i dostarcza instrukcje dotyczące dalszego postępowania. Notatka z żądaniem okupu jest zazwyczaj nazwana info.txt or info.hta i jest umieszczany na pulpicie lub w folderach zawierających zaszyfrowane pliki. Z notatki wynika, że ​​dane ofiary zostały zaszyfrowane i można je odblokować jedynie za pomocą klucza deszyfrującego, który napastnicy rzekomo mają dostarczyć po zapłaceniu okupu. Notatka może również zawierać dane kontaktowe cyberprzestępców oraz instrukcje dotyczące płatności, zazwyczaj wymagające płatności w kryptowalutach, takich jak Bitcoin.

REDCryptoApp Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania krypto-ransomware. Celem tej specyficznej odmiany oprogramowania ransomware jest infiltrowanie systemów komputerowych, szyfrowanie plików i żądanie okupu od ofiary w zamian za klucz deszyfrujący. Poniższe sekcje zawierają szczegółową analizę oprogramowania REDCryptoApp Ransomware, jego metod infekcji, rozszerzeń plików, mechanizmów szyfrowania, żądań okupu, dostępnych narzędzi deszyfrujących oraz metod odszyfrowywania plików, których dotyczy problem. Po infekcji REDCryptoApp Ransomware skanuje system w poszukiwaniu plików do zaszyfrowania. Jest przeznaczony dla szerokiej gamy typów plików, w tym dokumentów, obrazów, filmów i baz danych. Po zaszyfrowaniu plików ransomware dołącza do oryginalnych nazw plików określone rozszerzenie pliku, które często stanowi unikalny identyfikator wariantu ransomware, np. .REDCryptoApp. Szyfrowanie używane przez REDCryptoApp Ransomware jest zazwyczaj kombinacją algorytmów symetrycznych i asymetrycznych. Szyfrowanie symetryczne, takie jak AES, jest używane do masowego szyfrowania plików ze względu na jego wydajność. Do szyfrowania kluczy symetrycznych stosuje się szyfrowanie asymetryczne, takie jak RSA, dzięki czemu tylko osoba atakująca ma dostęp do klucza prywatnego niezbędnego do odszyfrowania. REDCryptoApp Ransomware tworzy notatkę z żądaniem okupu, która zawiera instrukcje dla ofiary, jak zapłacić okup i uzyskać klucz odszyfrowywania. Ta notatka jest zwykle plikiem tekstowym o nazwie np HOW_TO_RESTORE_FILES.REDCryptoApp.txti jest umieszczany na pulpicie lub w folderach zawierających zaszyfrowane pliki. Notatka zazwyczaj zawiera kwotę okupu, często wymaganą w kryptowalutach takich jak Bitcoin, oraz instrukcje dotyczące sposobu dokonania płatności.

ELITTE87 Ransomware to odmiana kryptowirusa należącego do rodziny Phobos, znanej ze swoich niszczycielskich możliwości. Po przedostaniu się do systemu szyfruje pliki, czyniąc je niedostępnymi dla użytkownika. Oprócz szyfrowania ELITTE87 podejmuje dalsze szkodliwe działania, takie jak wyłączanie zapory ogniowej i usuwanie kopii woluminów w tle. To ostatnie jest szczególnie niepokojące, ponieważ uniemożliwia przywracanie zaszyfrowanych plików za pomocą wbudowanych funkcji tworzenia kopii zapasowych systemu Windows. To ransomware modyfikuje nazwy plików, dołączając identyfikator ofiary, adres e-mail i rozszerzenie .ELITTE87 rozszerzenie każdego zaszyfrowanego pliku. Na przykład plik o nazwie sample.jpg zostanie przemianowany na sample.jpg.id[random-id].[helpdata@zohomail.eu].ELITTE87. Ransomware tego typu zazwyczaj wykorzystuje kombinację algorytmów szyfrowania symetrycznego i asymetrycznego w celu zabezpieczenia plików, czyniąc je niedostępnymi bez unikalnego klucza deszyfrującego posiadanego przez atakujących. Ransomware ELITTE87 generuje dwie notatki z żądaniem okupu: jedna wyświetlana jest w wyskakującym oknie, a druga to plik tekstowy o nazwie info.txt tworzone w każdym katalogu zawierającym zaszyfrowane pliki. Notatka z żądaniem okupu informuje ofiary, że ich dane zostały zaszyfrowane i pobrane oraz że odszyfrowanie jest możliwe wyłącznie za pomocą oprogramowania cyberprzestępców. Ostrzega przed samodzielnymi próbami odszyfrowania danych lub przy użyciu oprogramowania firm trzecich, gdyż może to doprowadzić do trwałej utraty danych. Notatka odradza również szukanie pomocy u firm pośredniczących lub zajmujących się odzyskiwaniem danych, sugerując, że może to skutkować dalszą utratą danych lub oszustwem.

SatanCD Ransomware to szkodliwy program sklasyfikowany w kategorii ransomware, w szczególności oparty na rodzinie ransomware Chaos. Celem tego szkodliwego oprogramowania jest szyfrowanie plików na zainfekowanym komputerze, czyniąc je niedostępnymi dla użytkownika, a następnie żądając zapłaty za ich odszyfrowanie. Po zainfekowaniu komputera SzatanCD zmienia nazwy zaszyfrowanych plików, dodając rozszerzenie składające się z czterech losowych znaków. Na przykład plik o nazwie 1.jpg może zostać zmieniona nazwa na 1.jpg.563l, 2.png do 2.png.a7vb. Ten wzór zmiany nazw ułatwia identyfikację plików zaszyfrowanych przez to konkretne oprogramowanie ransomware. Chociaż w źródle nie podano dokładnych algorytmów szyfrowania używanych przez SatanCD, ponieważ jest to program ransomware, sugeruje użycie silnych metod szyfrowania, co prawdopodobnie sprawia, że ​​nieautoryzowane odszyfrowanie bez klucza deszyfrującego jest niezwykle trudne, jeśli nie niemożliwe. Po zaszyfrowaniu plików, SzatanCD zmienia tapetę pulpitu i tworzy notatkę z żądaniem okupu pt read_it.txt. Ta notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i że jedynym sposobem na ich odszyfrowanie jest zdobycie oprogramowania deszyfrującego od atakujących. Notatka prawdopodobnie zawiera instrukcje dotyczące zapłacenia okupu i skontaktowania się z atakującymi.

Napoli Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania ransomware, którego zadaniem jest szyfrowanie danych na komputerze ofiary, uniemożliwiając dostęp do plików. Następnie atakujący żądają zapłaty okupu, zazwyczaj w kryptowalutach, za klucz odszyfrowujący, który umożliwi ofierze odzyskanie dostępu do jej plików. Po infekcji Napoli Ransomware szyfruje pliki na komputerze ofiary i dołącza do zaszyfrowanych plików określone rozszerzenie. Zaobserwowano, że oprogramowanie ransomware korzysta z .napoli rozszerzenie, wskazujące, że plik został zaszyfrowany i nie jest już dostępny w oryginalnej formie. Metoda szyfrowania używana przez Napoli Ransomware nie jest określona w dostarczonych wynikach wyszukiwania. Jednak oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, takie jak AES lub RSA, aby mieć pewność, że zaszyfrowanych plików nie można łatwo odszyfrować bez odpowiedniego klucza deszyfrującego. Po zaszyfrowaniu plików Napoli Ransomware tworzy notatkę z żądaniem okupu, która zawiera instrukcje dla ofiary, jak zapłacić okup i uzyskać klucz odszyfrowywania. Żądanie okupu to zazwyczaj plik tekstowy o nazwie read_it.txti jest umieszczany na pulpicie lub w folderach zawierających zaszyfrowane pliki. Dodatkowo ransomware może zmienić tapetę pulpitu, aby wyświetlić wiadomość z żądaniem okupu.

MarioLocker to złośliwe oprogramowanie sklasyfikowane jako ransomware, czyli rodzaj złośliwego oprogramowania, które szyfruje pliki ofiar, czyniąc je niedostępnymi. Głównym celem atakujących oprogramowanie ransomware jest żądanie okupu od ofiar, zazwyczaj w zamian za klucz deszyfrujący niezbędny do odblokowania zaszyfrowanych plików. MarioLocker Ransomware dołącza unikalne rozszerzenie do zaszyfrowanych plików. Zmienia nazwy plików, dodając rozszerzenie .wasted rozszerzenie, po którym następuje numer kolejny, np .wasted1, .wasted2, i tak dalej. Ta konwencja zmiany nazw służy jako wyraźny wskaźnik obecności oprogramowania ransomware w systemie. Żądanie okupu jest kluczowym elementem strategii oprogramowania ransomware, dostarczającym ofiarom instrukcji dotyczących dalszego postępowania. MarioLocker tworzy plik tekstowy o nazwie @Readme.txt, który zawiera wiadomość z żądaniem okupu. Plik ten jest zwykle umieszczany w tych samych katalogach, co zaszyfrowane pliki, lub w widocznym miejscu, np. na pulpicie. Notatka instruuje ofiary, aby otworzyły plik o nazwie „WastedBitDecryptor” i wykonały opisane w nim kroki. Dodatkowo kieruje ofiary do pliku o nazwie YourFiles.txt znajdujący się w katalogu „C:\Windows\Temp”, który zawiera listę zaszyfrowanych plików.

RTM Locker Ransomware, znany również jako Read The Manual Locker, okazał się poważnym zagrożeniem w krajobrazie cyberbezpieczeństwa. To złośliwe oprogramowanie stanowi część modelu oprogramowania ransomware jako usługi (RaaS), w ramach którego podmioty stowarzyszone pobierają procent swoich zysków za korzystanie z infrastruktury RTM Locker w celu przeprowadzania ataków. Model ten ułatwił rozprzestrzenianie się RTM Locker, czyniąc go powszechnym zagrożeniem zarówno dla osób prywatnych, jak i organizacji. Po infekcji RTM Locker dodaje unikalne 64-znakowe rozszerzenie do nazw wszystkich zaszyfrowanych plików, czyniąc je niedostępnymi dla użytkowników. To rozszerzenie stanowi kombinację losowych znaków, co znacznie komplikuje identyfikację i odzyskiwanie plików, których dotyczy problem. Metoda szyfrowania stosowana przez RTM Locker polega na połączeniu szyfrowania asymetrycznego i symetrycznego, co sprawia, że ​​odszyfrowanie plików bez klucza prywatnego atakującego jest praktycznie niemożliwe. RTM Locker upuszcza list z żądaniem okupu o nazwie How To Restore Your Files.txt na pulpicie ofiary. Ta notatka informuje ofiary o szyfrowaniu i wymaga kontaktu w ciągu 48 godzin, aby zapobiec publicznemu ujawnieniu zaszyfrowanych danych. Notatka ostrzega przed samodzielnymi próbami odszyfrowania plików, gdyż może to doprowadzić do trwałej utraty danych.