Ransomware

Nowa generacja STOP Ransomware (Djvu Ransomware) zaczął dodawać .vatq rozszerzeń do zaszyfrowanych plików od końca maja 2023. Przypominamy, że Vatq Ransomware należy do rodziny kryptowirusów, które wyłudzają pieniądze w zamian za odszyfrowanie danych. Ostatnie przykłady STOP Ransomware są czasami klasyfikowane jako Djvu Ransomware, ponieważ używają niemal identycznych szablonów żądań okupu od początku 2019 r., kiedy .djvu zostały dołączone rozszerzenia. Vatq Ransomware używa tych samych adresów e-mail, które były używane w kilkudziesięciu ostatnich wersjach: support@freshmail.top i datarestorehelp@airmail.cc. Pełne odszyfrowanie jest możliwe tylko w 1-2% przypadków, gdy użyto klucza szyfrowania offline (za pomocą STOP Djvu Decryptor). W innych przypadkach skorzystaj z instrukcji i narzędzi przedstawionych w tym artykule. Tworzy Vatq Ransomware _readme.txt plik z żądaniem okupu, który wygląda prawie tak samo.

FAST Ransomware to rodzaj złośliwego oprogramowania, które nasz zespół badawczy niedawno wykrył podczas badania zgłoszeń w witrynie VirusTotal. Ten konkretny złośliwy program jest klasyfikowany jako ransomware, co oznacza, że ​​jest przeznaczony do szyfrowania danych na komputerze ofiary i żądania okupu w zamian za ich odszyfrowanie. Kiedy testowaliśmy oprogramowanie ransomware na naszej własnej maszynie, zauważyliśmy, że szyfruje ono pliki i modyfikuje ich nazwy. Oryginalne tytuły plików zostały zmienione poprzez dodanie adresu e-mail cyberprzestępców, unikalnego identyfikatora ofiary oraz rozszerzenia .FAST rozszerzenie. Na przykład plik o nazwie sample.pdf pojawiłby się jako sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST po zaszyfrowaniu. Po zakończeniu procesu szyfrowania oprogramowanie ransomware FAST upuściło żądanie okupu zatytułowane #FILEENCRYPTED.txt na pulpit ofiary.

EXISC to forma złośliwego oprogramowania znana jako ransomware, na którą zwróciliśmy uwagę podczas naszego dochodzenia. Jego głównym celem jest szyfrowanie danych i żądanie zapłaty w zamian za klucz odszyfrowywania. Po uruchomieniu próbki tego oprogramowania ransomware w naszym systemie testowym zauważyliśmy, że szyfruje ono pliki i dołącza .EXISC rozszerzenie ich oryginalnych nazw plików. Na przykład plik o nazwie sample.pdf pojawiłby się jako sample.pdf.EXISC. Oprogramowanie ransomware stworzyło również żądanie okupu zatytułowane Please Contact Us To Restore.txt. Na podstawie wiadomości zawartej w notatce stało się jasne, że EXISC jest skierowany przede wszystkim do dużych organizacji, a nie do indywidualnych użytkowników domowych. Ofiary często nie otrzymują obiecanych kluczy deszyfrujących lub oprogramowania, nawet po spełnieniu żądań okupu. Dlatego zdecydowanie odradzamy płacenie okupu, ponieważ nie gwarantuje to odzyskania danych, a jedynie utrwala działalność przestępczą.

Vaze Ransomware (znany jako STOP Ransomware or Djvu Ransomware) jest szeroko rozpowszechnionym szantażystą wirusów szyfrujących pliki. Jest to jedno z najniebezpieczniejszych programów ransomware o wysokim stopniu szkodliwości i współczynniku rozpowszechnienia. Wykorzystuje algorytm szyfrowania AES-256 w trybie CFB z zerowym IV i pojedynczym 32-bajtowym kluczem dla wszystkich plików. Maksymalnie 0x500000 bajtów (~5 Mb) danych na początku każdego pliku jest szyfrowanych. Wirus dołącza .vaze rozszerzenia do zakodowanych plików. Infekcja wpływa na ważne i cenne pliki. Są to dokumenty MS Office, OpenOffice, PDF, pliki tekstowe, bazy danych, zdjęcia, muzyka, wideo, pliki obrazów, archiwa, pliki aplikacji itp. Djvu Ransomware nie szyfruje plików systemowych, aby upewnić się, że system Windows działa poprawnie, a użytkownicy mogą przeglądaj internet, odwiedź stronę płatności i zapłać okup. Tworzy Vaze Ransomware _readme.txt plik, który nazywa się "żądanie okupu" i zawiera instrukcje dotyczące płatności oraz dane kontaktowe. Wirus umieszcza go na pulpicie oraz w folderach z zaszyfrowanymi plikami. Deweloperzy oferują następujące dane kontaktowe: support@freshmail.top i datarestorehelp@airmail.cc.

Zgubny wirus znany jako STOP Ransomware, w szczególności jego najnowszą odmianę Vapo Ransomware nie rozluźnia się i kontynuuje swoją złośliwą działalność nawet podczas szczytu rzeczywistej pandemii koronawirusa. Hakerzy wypuszczają nowe odmiany co 3-4 dni i nadal trudno jest zapobiec infekcji i wyleczyć się z niej. Ostatnie wersje mają zmodyfikowane rozszerzenia, które są dodawane na końcu plików, których dotyczy problem, teraz są to: .vapo. Chociaż istnieją narzędzia deszyfrujące firmy Emsisoft dostępne dla poprzednich wersji, najnowsze z nich zazwyczaj nie są możliwe do odszyfrowania. Procesy penetracji, infekcji i szyfrowania pozostają takie same: kampanie spamowe, pobieranie peer-to-peer, nieuwaga użytkownika i brak przyzwoitej ochrony prowadzą do poważnej utraty danych po zaszyfrowaniu przy użyciu silnych algorytmów AES-256. Po zakończeniu swojej niszczycielskiej działalności Vapo Ransomware pozostawia plik tekstowy – żądanie okupu, tzw _readme.txt, z którego możemy się dowiedzieć, że odszyfrowanie kosztuje od 490 do 980 dolarów i jest niemożliwe bez pewnego klucza deszyfrującego.

Gatq Ransomware jest w rzeczywistości podtypem notorycznie STOP Ransomware (DjVu Ransomware ), który jest aktywny od grudnia 2017 roku. Wirus wykorzystuje algorytm szyfrowania AES-256 (tryb CFB). Ta nowa wersja pojawiła się w połowie maja 2023 i dodaje .gatq rozszerzenie do zaszyfrowanych plików. STOP Ransomware należy do rodziny kryptowirusów, które żądają pieniędzy w zamian za odszyfrowanie. Dobrą wiadomością jest to, że większość poprzednich wersji Gatq Ransomware można było odszyfrować za pomocą specjalnego narzędzia o nazwie STOP Djvu Decryptor (link do pobrania poniżej w artykule), opracowany przez firmę EmsiSoft. Gatq Ransomware wykorzystuje dokładnie te same wiadomości e-mail, wzorce żądań okupu i inne parametry, co dziesiątki jego poprzedników: support@freshmail.top i datarestorehelp@airmail.cc. Tworzy złośliwe oprogramowanie _readme.txt plik z żądaniem okupu ze wszystkimi informacjami kontaktowymi i wyjaśnieniami.

Gaze Ransomware jest jedną z wielu wersji ransomware wydanych przez STOP/Djvu rodzina. Ta konkretna wersja została wydana pod koniec maja 2023 roku. Podobnie jak starsze wersje, Gaze Ransomware szyfruje dane przechowywane na komputerze i żąda okupu w postaci kryptowaluty za unikalne oprogramowanie deszyfrujące, które odblokuje te dane. Najczęściej złośliwe oprogramowanie, takie jak Gaze, przeszukuje dostępne pliki i blokuje dostęp do tych najcenniejszych. Lista takich zwykle składa się z obrazów, muzyki, filmów i dokumentów zawierających ważne informacje. Po zlokalizowaniu tych plików program do szyfrowania plików zapisze silne algorytmy kryptograficzne w docelowych plikach, aby uniemożliwić użytkownikom ręczne podejście do ich odszyfrowania. Ofiary zainfekowane tą wersją ransomware zobaczą, że ich dane zostały zmienione za pomocą .gaze rozbudowa. Oznacza to zainfekowany plik, taki jak 1.pdf zmieni się w coś takiego 1.pdf.gaze. Następnie programiści Gaze skonfigurowali swojego wirusa, aby utworzyć plik _readme.txt plik zawierający wskazówki dotyczące odszyfrowywania.

Gapo Ransomware lub jak to się często nazywa STOP Ransomware or Djvu Ransomware należy do dużej rodziny wirusów szyfrujących pliki z długą historią i wieloma modyfikacjami. Obecnie jest to jedno z najbardziej rozpowszechnionych ransomware. Nie będziemy zagłębiać się w szczegóły techniczne infekcji, ale wyjaśnimy proste metody i szanse na odszyfrowanie zainfekowanych plików i usunięcie wirusa. Pierwszą rzeczą, którą powinieneś wiedzieć, są przypadki, które można skutecznie wyleczyć, zła wiadomość jest taka, że ​​​​szanse na pomyślny wynik są mniejsze niż 5%. W tym artykule przyjrzymy się dołączonym odmianom .gapo rozszerzeń plików i pojawił się pod koniec maja 2023 roku. Gapo Ransomware używa podobnego schematu ze wszystkimi ofiarami. Pojawia się jako fałszywa aktualizacja systemu Windows ze stron z torrentami, które uruchamiają pliki wykonywalne w celu wyłączenia programów zabezpieczających i rozpoczęcia procesu szyfrowania cennych plików, takich jak dokumenty, filmy, zdjęcia, muzyka. Na koniec umieszcza żądanie okupu (_readme.txt) w każdym folderze z zaszyfrowanymi plikami.