Ransomware

Weon Ransomware jest jedną z najnowszych wersji opracowanych przez firmę STOP (Djvu) rodzina. Po raz pierwszy został zauważony pod koniec maja 2023 r. To ransomware atakuje różne rodzaje danych osobowych (np. obrazy, filmy, dokumenty itp.) za pomocą kluczy online generowanych losowo dla każdej ofiary. Po ich zastosowaniu i zaszyfrowaniu danych użytkownicy nie mają już dostępu do nich i interakcji z nimi. Podczas procesu szyfrowania wszystkie pliki są przypisywane .weon rozbudowa. Oznacza to, że pliki zmienią swoje nazwy i zresetują swoje ikony. Na przykład plik podobny do 1.pdf zostanie zmieniony na 1.pdf.weon i utracić swoją początkową ikonę na końcu szyfrowania. Następnie, podobnie jak inne najnowsze wersje rodziny STOP (Djvu), Weon tworzy notatkę tekstową o nazwie _readme.txt który zawiera instrukcje deszyfrowania. Bez względu na to, który z nich został upuszczony na komputer, wszystkie wyświetlają te same informacje.

Jigsaw Ransomware to szeroko rozpowszechniona rodzina oprogramowania ransomware. Ransomware ma na celu zaszyfrowanie plików na komputerze ofiary, uniemożliwiając do nich dostęp, a następnie żąda zapłaty okupu w zamian za klucz odszyfrowywania potrzebny do przywrócenia plików. Jigsaw Ransomware zwrócił na siebie uwagę w kwietniu 2016 r., kiedy został odkryty. Został nazwany na cześć kultowej postaci z filmu „Piła” ze względu na wykorzystanie wizerunku postaci jako logo. Jigsaw Ransomware atakuje systemy oparte na systemie Windows i rozprzestrzenia się za pomocą różnych metod, takich jak złośliwe załączniki wiadomości e-mail, zainfekowane pliki do pobrania lub zestawy exploitów. Gdy komputer zostanie zainfekowany Jigsaw Ransomware, zaczyna szyfrować pliki w systemie, w tym dokumenty, obrazy, filmy i inne ważne dane. Następnie wyświetla żądanie okupu na ekranie ofiary, żądając zapłaty, zwykle w Bitcoinach, w określonym przedziale czasowym. Jeśli ofiara nie zapłaci okupu w określonym czasie, Jigsaw Ransomware grozi usunięciem części zaszyfrowanych plików w ramach kary. Wyświetla również minutnik, dodając psychologiczny element pilności.

Alphaware Ransomware, złośliwe oprogramowanie, wykorzystuje wyrafinowaną kombinację algorytmów do szyfrowania cennych danych swoich ofiar. Po pomyślnym zaszyfrowaniu plików, to ransomware ujawnia swoją oryginalną nazwę, Alphaware, w notatce, podczas gdy sam powiązany plik jest oznaczony jako Alphaware.exe. Sprawcy stojący za tym podstępnym zagrożeniem identyfikują się jako grupa hakerów Alfa. Ich sposób działania polega na żądaniu okupu w wysokości 300 USD w BTC (Bitcoin) w zamian za klucz odszyfrowywania, który jest niezbędny do przywrócenia zaatakowanych plików do pierwotnego stanu. Alphaware Ransomware, które pojawiło się po raz pierwszy około połowy maja 2023 r., jest skierowane przede wszystkim do anglojęzycznych użytkowników, ale może infekować systemy na całym świecie. Zainfekowane pliki przechodzą transformację w swoich konwencjach nazewnictwa lub kodowaniu, której towarzyszy dodanie rozszerzenia .Alphaware rozszerzenie. Żądanie okupu jest dostarczane za pośrednictwem pliku o nazwie readme.txt.

Nowa generacja STOP Ransomware (Djvu Ransomware) zaczął dodawać .vatq rozszerzeń do zaszyfrowanych plików od końca maja 2023. Przypominamy, że Vatq Ransomware należy do rodziny kryptowirusów, które wyłudzają pieniądze w zamian za odszyfrowanie danych. Ostatnie przykłady STOP Ransomware są czasami klasyfikowane jako Djvu Ransomware, ponieważ używają niemal identycznych szablonów żądań okupu od początku 2019 r., kiedy .djvu zostały dołączone rozszerzenia. Vatq Ransomware używa tych samych adresów e-mail, które były używane w kilkudziesięciu ostatnich wersjach: support@freshmail.top i datarestorehelp@airmail.cc. Pełne odszyfrowanie jest możliwe tylko w 1-2% przypadków, gdy użyto klucza szyfrowania offline (za pomocą STOP Djvu Decryptor). W innych przypadkach skorzystaj z instrukcji i narzędzi przedstawionych w tym artykule. Tworzy Vatq Ransomware _readme.txt plik z żądaniem okupu, który wygląda prawie tak samo.

FAST Ransomware to rodzaj złośliwego oprogramowania, które nasz zespół badawczy niedawno wykrył podczas badania zgłoszeń w witrynie VirusTotal. Ten konkretny złośliwy program jest klasyfikowany jako ransomware, co oznacza, że ​​jest przeznaczony do szyfrowania danych na komputerze ofiary i żądania okupu w zamian za ich odszyfrowanie. Kiedy testowaliśmy oprogramowanie ransomware na naszej własnej maszynie, zauważyliśmy, że szyfruje ono pliki i modyfikuje ich nazwy. Oryginalne tytuły plików zostały zmienione poprzez dodanie adresu e-mail cyberprzestępców, unikalnego identyfikatora ofiary oraz rozszerzenia .FAST rozszerzenie. Na przykład plik o nazwie sample.pdf pojawiłby się jako sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST po zaszyfrowaniu. Po zakończeniu procesu szyfrowania oprogramowanie ransomware FAST upuściło żądanie okupu zatytułowane #FILEENCRYPTED.txt na pulpit ofiary.

EXISC to forma złośliwego oprogramowania znana jako ransomware, na którą zwróciliśmy uwagę podczas naszego dochodzenia. Jego głównym celem jest szyfrowanie danych i żądanie zapłaty w zamian za klucz odszyfrowywania. Po uruchomieniu próbki tego oprogramowania ransomware w naszym systemie testowym zauważyliśmy, że szyfruje ono pliki i dołącza .EXISC rozszerzenie ich oryginalnych nazw plików. Na przykład plik o nazwie sample.pdf pojawiłby się jako sample.pdf.EXISC. Oprogramowanie ransomware stworzyło również żądanie okupu zatytułowane Please Contact Us To Restore.txt. Na podstawie wiadomości zawartej w notatce stało się jasne, że EXISC jest skierowany przede wszystkim do dużych organizacji, a nie do indywidualnych użytkowników domowych. Ofiary często nie otrzymują obiecanych kluczy deszyfrujących lub oprogramowania, nawet po spełnieniu żądań okupu. Dlatego zdecydowanie odradzamy płacenie okupu, ponieważ nie gwarantuje to odzyskania danych, a jedynie utrwala działalność przestępczą.

Vaze Ransomware (znany jako STOP Ransomware or Djvu Ransomware) jest szeroko rozpowszechnionym szantażystą wirusów szyfrujących pliki. Jest to jedno z najniebezpieczniejszych programów ransomware o wysokim stopniu szkodliwości i współczynniku rozpowszechnienia. Wykorzystuje algorytm szyfrowania AES-256 w trybie CFB z zerowym IV i pojedynczym 32-bajtowym kluczem dla wszystkich plików. Maksymalnie 0x500000 bajtów (~5 Mb) danych na początku każdego pliku jest szyfrowanych. Wirus dołącza .vaze rozszerzenia do zakodowanych plików. Infekcja wpływa na ważne i cenne pliki. Są to dokumenty MS Office, OpenOffice, PDF, pliki tekstowe, bazy danych, zdjęcia, muzyka, wideo, pliki obrazów, archiwa, pliki aplikacji itp. Djvu Ransomware nie szyfruje plików systemowych, aby upewnić się, że system Windows działa poprawnie, a użytkownicy mogą przeglądaj internet, odwiedź stronę płatności i zapłać okup. Tworzy Vaze Ransomware _readme.txt plik, który nazywa się "żądanie okupu" i zawiera instrukcje dotyczące płatności oraz dane kontaktowe. Wirus umieszcza go na pulpicie oraz w folderach z zaszyfrowanymi plikami. Deweloperzy oferują następujące dane kontaktowe: support@freshmail.top i datarestorehelp@airmail.cc.

Zgubny wirus znany jako STOP Ransomware, w szczególności jego najnowszą odmianę Vapo Ransomware nie rozluźnia się i kontynuuje swoją złośliwą działalność nawet podczas szczytu rzeczywistej pandemii koronawirusa. Hakerzy wypuszczają nowe odmiany co 3-4 dni i nadal trudno jest zapobiec infekcji i wyleczyć się z niej. Ostatnie wersje mają zmodyfikowane rozszerzenia, które są dodawane na końcu plików, których dotyczy problem, teraz są to: .vapo. Chociaż istnieją narzędzia deszyfrujące firmy Emsisoft dostępne dla poprzednich wersji, najnowsze z nich zazwyczaj nie są możliwe do odszyfrowania. Procesy penetracji, infekcji i szyfrowania pozostają takie same: kampanie spamowe, pobieranie peer-to-peer, nieuwaga użytkownika i brak przyzwoitej ochrony prowadzą do poważnej utraty danych po zaszyfrowaniu przy użyciu silnych algorytmów AES-256. Po zakończeniu swojej niszczycielskiej działalności Vapo Ransomware pozostawia plik tekstowy – żądanie okupu, tzw _readme.txt, z którego możemy się dowiedzieć, że odszyfrowanie kosztuje od 490 do 980 dolarów i jest niemożliwe bez pewnego klucza deszyfrującego.