Ransomware

DVN to infekcja ransomware, która uruchamia silne szyfrowanie w celu przechowania potencjalnie ważnych plików, dopóki nie zostanie zapłacony okup. Oprócz szyfrowania, wirus przypisuje również .devinn rozszerzenie, aby podświetlić zablokowane dane; zmienia tapety pulpitu; i stworzyć unlock_here.txt notatka tekstowa z instrukcjami odzyskiwania. Cyberprzestępcy twierdzą, że dostarczą niezbędne oprogramowanie deszyfrujące tylko wtedy, gdy ofiary zapłacą 0.0077 BTC (około 200 USD). Mówi się, że płatności można dokonać tylko w Bitcoin i na załączony adres kryptograficzny. W przeciwieństwie do wielu innych infekcji ransomware, programiści stojący za DVN Ransomware nie udostępniają żadnych środków komunikacji z nimi (np. poczty e-mail, różnych komunikatorów itp.). W związku z tym bardzo niejasne jest, w jaki sposób ofiary będą komunikować się z atakującymi w celu otrzymania obiecanego narzędzia deszyfrującego po dokonaniu płatności. Płacenie okupu nie jest zalecane, ponieważ istnieje ryzyko, że nie otrzymasz nic w zamian. Niestety, musimy zauważyć, że cyberprzestępcy są zazwyczaj jedynymi postaciami, które faktycznie są w stanie w pełni odszyfrować dostęp do danych.

Fofd Ransomware (wersja STOP Ransomware or DjVu Ransomware ) to szeroko rozpowszechniony wirus szyfrujący wysokiego ryzyka, który po raz pierwszy pojawił się blisko 5 lat temu. W tym czasie przeszedł kilka zmian wizualnych i technicznych. W tym samouczku przeanalizujemy najnowsze wersje tego niebezpiecznego złośliwego oprogramowania. Już pod koniec kwietnia 2023 r. STOP Ransomware zaczął dodawać następujące rozszerzenia do zaszyfrowanych plików: .fofd. Z tego powodu otrzymał nazwę „Fofd Ransomware”, chociaż jest to tylko jedna z odmian krypto-wirusa STOP. Wirus modyfikuje również plik „hosts”, aby blokować aktualizacje systemu Windows, programy antywirusowe i witryny związane z wiadomościami dotyczącymi bezpieczeństwa lub oferującymi rozwiązania bezpieczeństwa. Proces infekcji również wygląda jak instalowanie aktualizacji systemu Windows, złośliwe oprogramowanie wyświetla fałszywe okno imitujące proces aktualizacji. Nowy podtyp STOP Ransomware wykorzystuje te same adresy e-mail, co kilka poprzednich generacji: support@freshmail.top i datarestorehelp@airmail.cc. Tworzy Fofd Ransomware _readme.txt plik z żądaniem okupu.

WannaCry (określane również jako Wcry, Wana Decrypt0r 2.0, WanaDecryptor, Wirus WNCRY) to infekcja ransomware, która szyfruje pliki osobiste przy użyciu algorytmów AES-128 i żąda od ofiar zapłaty za odszyfrowanie. Wirus został odkryty przez badacza bezpieczeństwa S!Ri i istnieje kilka znanych wariantów WannaCry. W zależności od tego, który wariant zaatakował system, pliki dotknięte szyfrowaniem zostaną zmienione przy użyciu rozszerzenia .wcry, .wncrylub WNCRYT (dla zaszyfrowanych plików .bmp). Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.wcry lub podobnie w zależności od wersji ransomware. Następnie wirus wyświetla instrukcje odszyfrowywania w wyskakującym okienku otwieranym na siłę. Jeden z wariantów zmienia również tapety pulpitu. The Wana Decrypt0r 2.0 wariant tworzy również oddzielną notatkę z żądaniem okupu o nazwie @Please_Read_Me@.txt.

Jeśli twoje pliki zostały niedawno dostane .foty rozszerzenia, co oznacza, że ​​komputer jest zainfekowany wirusem szyfrującym o nazwie Forty Ransomware (część STOP Ransomware or Djvu Ransomware rodziny, nazwanej tak, ponieważ dołączone zostały pierwsze wersje wirusa tego typu .djvu rozbudowa). Jest to bardzo rozpowszechnione i aktywnie dystrybuowane złośliwe oprogramowanie. Ransomware początkowo wykorzystywał algorytm szyfrowania AES-256 i nie było możliwości odszyfrowania. Jeśli jednak podczas procesu szyfrowania zainfekowany komputer był poza Internetem lub połączenie ze zdalnym serwerem hakerów zostało przerwane, Twoje pliki można odszyfrować, korzystając z metod podanych poniżej. STOP Ransomware ma żądanie okupu o nazwie _readme.txt. W tym pliku tekstowym przestępcy podają dane kontaktowe i szczegóły dotyczące sposobu dokonania płatności. Wirus kopiuje go na pulpit i do folderów z zaszyfrowanymi plikami. Hakerzy udostępniają następujące kontakty, e-maile: support@freshmail.top i datarestorehelp@airmail.cc.

Foza Ransomware to niszczycielski wirus szyfrujący z serii STOP Ransomware (Djvu Ransomware). Foza Ransomware to odmiana rodziny STOP/Djvu Ransomware, która znana jest z używania kombinacji dwóch algorytmów szyfrowania: RSA i AES. RSA służy do szyfrowania symetrycznego klucza AES, który jest generowany dla każdego pliku. Oznacza to, że każdy plik ma swój własny unikalny klucz AES, który służy do szyfrowania i deszyfrowania zawartości pliku. Para kluczy RSA jest generowana przez oprogramowanie ransomware na komputerze ofiary, a klucz publiczny jest wysyłany do serwera atakującego, który jest następnie używany do szyfrowania symetrycznego klucza AES. Ma swoją nazwę od .foza rozszerzenie, które ransomware dodaje na końcu zaszyfrowanych plików. Z technicznego punktu widzenia wirus pozostaje taki sam jak poprzednie wersje. Jedyne, co zmieniło się w ciągu ostatnich kilku lat, to dane kontaktowe złoczyńców.

Kafan to nowy wirus ransomware, który infekuje użytkowników systemu Windows w celu zaszyfrowania danych osobowych i wyłudzenia od ofiar pieniędzy za ich odszyfrowanie. Po zainstalowaniu ransomware przeprowadzi szybkie skanowanie przechowywanych danych i rozpocznie proces szyfrowania przy użyciu silnych algorytmów kryptograficznych. Ponadto złośliwe oprogramowanie będzie również przypisywać własne .kafan rozszerzenie do rozróżniania zablokowanych plików. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.kafan i stają się niedostępne. Na koniec narzędzie do szyfrowania plików generuje żądanie okupu o nazwie help_you.txt wraz z instrukcją zwrotu danych. Wiadomość z żądaniem okupu wymaga od ofiar wysłania wiadomości e-mail do cyberprzestępców (PYTHONHAVENONAME@163.COM) i zapłacenia za odszyfrowanie. Podczas wysyłania wiadomości ofiary są również proszone o wpisanie swojego identyfikatora w tytule/teście wiadomości. Mówi się, że cena za odszyfrowanie zależy od tego, jak szybko ofiary nawiążą komunikację z atakującymi. Cyberprzestępcy wykorzystują takie techniki manipulacji, aby wywrzeć dodatkową presję na ofiarach i potencjalnie zmusić je do wyrażenia zgody na zapłacenie okupu.

Recov to nowy wariant ransomware z rodziny VoidCrypt. Po infiltracji systemu uruchamia szyfrowanie danych (aby uniemożliwić ofiarom dostęp do plików) i każe ofiarom zapłacić za zestaw oprogramowania deszyfrującego + klucz RSA do odblokowania plików. Instrukcje, jak to zrobić, znajdują się w środku Dectryption-guide.txt list z żądaniem okupu. Kolejną rzeczą, którą robi to ransomware, jest przypisywanie zmian wizualnych do zaszyfrowanych plików - ciągu znaków składającego się z identyfikatora ofiary, adresu e-mail cyberprzestępców oraz .Recov rozszerzenie zostanie dodane do nazw plików. Na przykład plik o oryginalnej nazwie 1.pdf zostanie zmieniony na 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov lub podobnie. Cyberprzestępcy żądają, aby ofiary nawiązały z nimi kontakt poprzez e-mail (Recoverifiles@gmail.com lub Recoverifiles@protonmail.com w przypadku braku odpowiedzi). Chociaż nie jest jasne, czego potrzebują szantażyści, prawdopodobnie będą wymagać od swoich ofiar uiszczenia określonej opłaty za narzędzie deszyfrujące i klucz RSA, które są dostępne tylko dla programistów.

Kadavro Vector to program ransomware skierowany do użytkowników mówiących po angielsku, rosyjsku i norwesku. Celem tego wirusa jest szyfrowanie potencjalnie ważnych danych i wyłudzanie pieniędzy od ofiar za ich odszyfrowanie. Uniemożliwiając dostęp do plików, złośliwe oprogramowanie dodaje również rozszerzenie .vector_ rozszerzenie docelowych plików. Na przykład plik o oryginalnej nazwie 1.pdf doświadczy zmiany 1.pdf.vector_ i zresetuj jego oryginalną ikonę. Wkrótce po pomyślnym zaszyfrowaniu Kadavro Vector otwiera wyskakujące okienko zawierające wskazówki dotyczące deszyfrowania. Ponadto zmieniają się również tapety pulpitu. Żądanie okupu instruuje ofiary, aby nie wyłączały Internetu i komputera, ponieważ w przeciwnym razie może to doprowadzić do uszkodzenia zaszyfrowanych danych. Aby zwrócić dane, ofiary muszą kupić kryptowalutę Monero (XMR) o wartości 250 USD i wysłać ją na adres kryptograficzny cyberprzestępców. Ponadto istnieje również licznik czasu wskazujący, ile czasu użytkownicy muszą zapłacić za odszyfrowanie. Mówi się, że jeśli ofiarom nie uda się tego zrobić w wyznaczonym czasie, wszystkie pliki zostaną usunięte przy użyciu najnowocześniejszych algorytmów, co sprawi, że nie będzie można ich odzyskać w przyszłości. W ten sposób cyberprzestępcy próbują wywrzeć dodatkową presję na ofiary, a tym samym zmusić je do spełnienia wymagań dotyczących odszyfrowania.