Ransomware

Gatq Ransomware jest w rzeczywistości podtypem notorycznie STOP Ransomware (DjVu Ransomware ), który jest aktywny od grudnia 2017 roku. Wirus wykorzystuje algorytm szyfrowania AES-256 (tryb CFB). Ta nowa wersja pojawiła się w połowie maja 2023 i dodaje .gatq rozszerzenie do zaszyfrowanych plików. STOP Ransomware należy do rodziny kryptowirusów, które żądają pieniędzy w zamian za odszyfrowanie. Dobrą wiadomością jest to, że większość poprzednich wersji Gatq Ransomware można było odszyfrować za pomocą specjalnego narzędzia o nazwie STOP Djvu Decryptor (link do pobrania poniżej w artykule), opracowany przez firmę EmsiSoft. Gatq Ransomware wykorzystuje dokładnie te same wiadomości e-mail, wzorce żądań okupu i inne parametry, co dziesiątki jego poprzedników: support@freshmail.top i datarestorehelp@airmail.cc. Tworzy złośliwe oprogramowanie _readme.txt plik z żądaniem okupu ze wszystkimi informacjami kontaktowymi i wyjaśnieniami.

Gaze Ransomware jest jedną z wielu wersji ransomware wydanych przez STOP/Djvu rodzina. Ta konkretna wersja została wydana pod koniec maja 2023 roku. Podobnie jak starsze wersje, Gaze Ransomware szyfruje dane przechowywane na komputerze i żąda okupu w postaci kryptowaluty za unikalne oprogramowanie deszyfrujące, które odblokuje te dane. Najczęściej złośliwe oprogramowanie, takie jak Gaze, przeszukuje dostępne pliki i blokuje dostęp do tych najcenniejszych. Lista takich zwykle składa się z obrazów, muzyki, filmów i dokumentów zawierających ważne informacje. Po zlokalizowaniu tych plików program do szyfrowania plików zapisze silne algorytmy kryptograficzne w docelowych plikach, aby uniemożliwić użytkownikom ręczne podejście do ich odszyfrowania. Ofiary zainfekowane tą wersją ransomware zobaczą, że ich dane zostały zmienione za pomocą .gaze rozbudowa. Oznacza to zainfekowany plik, taki jak 1.pdf zmieni się w coś takiego 1.pdf.gaze. Następnie programiści Gaze skonfigurowali swojego wirusa, aby utworzyć plik _readme.txt plik zawierający wskazówki dotyczące odszyfrowywania.

Gapo Ransomware lub jak to się często nazywa STOP Ransomware or Djvu Ransomware należy do dużej rodziny wirusów szyfrujących pliki z długą historią i wieloma modyfikacjami. Obecnie jest to jedno z najbardziej rozpowszechnionych ransomware. Nie będziemy zagłębiać się w szczegóły techniczne infekcji, ale wyjaśnimy proste metody i szanse na odszyfrowanie zainfekowanych plików i usunięcie wirusa. Pierwszą rzeczą, którą powinieneś wiedzieć, są przypadki, które można skutecznie wyleczyć, zła wiadomość jest taka, że ​​​​szanse na pomyślny wynik są mniejsze niż 5%. W tym artykule przyjrzymy się dołączonym odmianom .gapo rozszerzeń plików i pojawił się pod koniec maja 2023 roku. Gapo Ransomware używa podobnego schematu ze wszystkimi ofiarami. Pojawia się jako fałszywa aktualizacja systemu Windows ze stron z torrentami, które uruchamiają pliki wykonywalne w celu wyłączenia programów zabezpieczających i rozpoczęcia procesu szyfrowania cennych plików, takich jak dokumenty, filmy, zdjęcia, muzyka. Na koniec umieszcza żądanie okupu (_readme.txt) w każdym folderze z zaszyfrowanymi plikami.

Xaro to nazwa nowego wirusa szyfrującego pliki, opracowanego niedawno przez genealogię ransomware STOP/Djvu. Ten wariant oprogramowania ransomware pojawił się w maju 2023 roku i ma zasadniczo identyczne cechy jak inne wersje wydawane przez tę grupę cyberprzestępców. Jedyne, co czyni go wyjątkowym, to tzw .xaro rozszerzenie, które jest dołączane do docelowych plików podczas szyfrowania. Po zaszyfrowaniu pliki nie będą już dostępne i będą wyglądać mniej więcej tak 1.pdf.xaro bez oryginalnej ikony skrótu. Następnie Xaro Ransomware tworzy notatkę tekstową o nazwie _readme.txt zawierać wskazówki dotyczące deszyfrowania. Ogólnie mówi się, że ofiary muszą zapłacić za unikalny klucz odszyfrowywania (i narzędzie), aby odzyskać dane. Cena za odszyfrowanie wynosi 490 USD w ciągu pierwszych 72 godzin i podobno podwaja się do 980 USD, chyba że ofiary zmieszczą się w określonych ramach czasowych. Aby dokonać tej żądanej zapłaty, ofiary muszą zainicjować komunikację z oszustami (za pośrednictwem poczty elektronicznej) i uzyskać dalsze instrukcje dotyczące zapłacenia okupu.

Jeśli nieoczekiwanie zmieniły się nazwy Twoich plików, .xatz jest dodawany na końcu ich nazwy, a same pliki przestały się otwierać, oznacza to, że Twój komputer jest zainfekowany wirusem szyfrującym pliki o nazwie Xatz Ransomware (STOP Ransomware). Używając silnego hybrydowego systemu szyfrowania i unikalnego klucza, wirus ten szyfruje wszystkie pliki znajdujące się na zainfekowanym komputerze. Każdy zaszyfrowany plik otrzymuje nowe rozszerzenie: .xatz. Ta wersja pojawiła się w połowie maja 2023 roku. Do szyfrowania danych pasożyt wykorzystuje kombinację algorytmów AES i RSA. Nowe wersje pojawiają się niemal co tydzień, choć wszystkie pokazują swoją aktywność według tego samego szablonu. Nawet jeśli usuniesz nowe rozszerzenie lub całkowicie zmienisz nazwę pliku, nie pomoże to w przywróceniu dostępu do jego zawartości. Tylko klucz i deszyfrator, które mają autorzy Xatz Ransomware, mogą odszyfrować pliki. Na szczęście dla ofiar tego wirusa stworzono darmowy deszyfrator, który w niektórych przypadkach może pomóc w odszyfrowaniu zainfekowanych plików. Po zaszyfrowaniu złośliwe oprogramowanie umieszcza specjalny plik tekstowy z instrukcją zapłaty okupu (notatka z żądaniem okupu), tzw _readme.txt w każdym folderze.

Bycie częścią Djvu/STOP rodzina, Xash to nowa infekcja ransomware, której celem jest szyfrowanie danych. Został wydany w połowie maja 2023 roku. Podobnie jak inne złośliwe oprogramowanie tego typu, STOP Ransomware w tej wersji dołącza własne .xash rozszerzenie do zaszyfrowanych plików. W zdecydowanej większości przypadków dane stają się niemożliwe do odszyfrowania przy użyciu konwencjonalnych metod. Tylko 1-2% przypadków można odszyfrować za pomocą wyznaczonego narzędzia deszyfrującego. Jednak dzięki instrukcjom podanym na tej stronie istnieje duża szansa na odzyskanie ważnych plików. Aby to zilustrować, niewinny plik, taki jak 1.mp4 zmieni się na 1.pdf.xash, i podobnie z innymi plikami. Twórcy infekcji ransomware dążą do korzyści finansowych – dlatego udostępniają płatne instrukcje odszyfrowania danych. Informacje te można znaleźć w notatce tekstowej (_readme.txt) utworzone w każdym folderze z zaszyfrowanymi plikami.

Gatz Ransomware to katastrofalny wirus, który używa algorytmów szyfrowania AES do szyfrowania plików użytkowników. Po zakodowaniu pliki uzyskują następujące rozszerzenia: .gatz. Szkodliwe oprogramowanie ma na celu szyfrowanie danych osobowych, takich jak dokumenty, zdjęcia, filmy, muzyka, e-maile. Głębokie kodowanie sprawia, że ​​te pliki są niedostępne, a dostępne dziś narzędzia deszyfrujące nie mogą pomóc w większości przypadków. Aby uruchamiać się automatycznie przy każdym uruchomieniu systemu operacyjnego, kryptograf tworzy wpis w kluczu rejestru systemu Windows, który definiuje listę programów uruchamianych po włączeniu lub ponownym uruchomieniu komputera. Aby określić, którego klucza użyć do szyfrowania, Gatz Ransomware próbuje nawiązać połączenie sieciowe ze swoim serwerem kontroli. Wirus wysyła informacje o zainfekowanym komputerze do serwera i otrzymuje od niego klucz szyfrujący. Ponadto serwer poleceń może wysłać wirusowi dodatkowe polecenia i moduły, które zostaną wykonane na komputerze ofiary. Jeśli wymiana danych z serwerem kontroli przebiegła pomyślnie, wirus wykorzystuje otrzymany klucz szyfrujący (klucz online). Ten klucz jest unikalny dla każdego zainfekowanego komputera. Jeśli Gatz Ransomware nie był w stanie nawiązać połączenia ze swoim serwerem, do zaszyfrowania plików zostanie użyty stały klucz (klucz offline).

Gash Ransomware to złożony wirus typu szyfrującego, który używa algorytmu AES (Salsa20) do szyfrowania plików użytkownika. Dane, na które ma wpływ to złośliwe oprogramowanie, stają się niedostępne bez specjalnego klucza deszyfrującego. Wirus co tydzień ulega niewielkim modyfikacjom, a najnowsza wersja, która pojawiła się pod koniec listopada, dodaje następujące rozszerzenie: .gash. Gash Ransomware nie ingeruje w pliki systemowe, ale może blokować nawigację do niektórych stron internetowych związanych z bezpieczeństwem za pomocą pliku „hostów” systemu Windows. Gdy użytkownicy próbują pobrać narzędzia chroniące przed złośliwym oprogramowaniem lub deszyfrujące, szkodnik nie pozwoli im na to. Możesz łatwo pobrać polecane programy z naszej strony i przeczytać instrukcje, jak z nich korzystać. Ransomware kopiuje plik _readme.txt, tak zwane „żądanie okupu”, na pulpit oraz do folderów z zaszyfrowanymi plikami.