Ransomware

Water Ransomware to rodzaj kryptowirusa, złośliwego oprogramowania zaprojektowanego do szyfrowania plików na komputerze ofiary i żądania okupu za ich odszyfrowanie. To należy do Phobos rodzina ransomware. To cyberzagrożenie jest szczególnie podstępne, ponieważ nie tylko ogranicza dostęp do ważnych danych, ale także niesie ryzyko trwałej utraty danych i wymagań finansowych. Po zainfekowaniu komputera Water Ransomware szyfruje pliki użytkownika za pomocą zaawansowanego algorytmu szyfrowania i zmienia nazwy plików, dodając unikalne rozszerzenie. Nowa nazwa pliku zawiera identyfikator ofiary, adres e-mail osoby atakującej oraz rozszerzenie .water rozszerzenie, skutecznie oznaczając pliki jako niedostępne. Na przykład plik 1.txt zostanie zmieniony na 1.txt.id[random-ID].[aquaman@rambler.ua].water. Ransomware generuje żądanie okupu, które zazwyczaj znajduje się w plikach o nazwach info.hta i info.txt. Ta notatka instruuje ofiary, jak skontaktować się z napastnikami w celu zapłacenia okupu. Przestrzega przed próbami samoodszyfrowania lub wykorzystaniem oprogramowania firm trzecich, ostrzegając, że takie działania mogą prowadzić do nieodwracalnej utraty danych. W notatce odradza się także zwracanie się o pomoc do firm pośredniczących, co może prowadzić do wyższych okupów lub oszukańczych programów.

Looy Ransomware to złośliwe oprogramowanie należące do rodziny ransomware STOP/DJVU, która słynie z tego, że atakuje zarówno użytkowników indywidualnych, jak i firmy. Jego zadaniem jest szyfrowanie plików na zainfekowanym komputerze, czyniąc je niedostępnymi dla użytkownika, a następnie żąda zapłaty okupu w zamian za klucz deszyfrujący. Po zaszyfrowaniu plików Looy Ransomware dołącza rozszerzenie .looy rozszerzenia nazw plików, co jest wyraźnym wskaźnikiem infekcji. Looy Ransomware wykorzystuje solidny algorytm szyfrowania do blokowania plików. Chociaż w dostarczonych źródłach nie jest szczegółowo określony rodzaj szyfrowania, oprogramowanie ransomware, takie jak Looy, często używa AES (Advanced Encryption Standard) lub podobnej bezpiecznej metody do szyfrowania plików. Po zaszyfrowaniu Looy Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt i umieszcza go na pulpicie lub w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje dla ofiary, jak skontaktować się z atakującymi i zapłacić okup, aby potencjalnie otrzymać klucz odszyfrowujący.

Vook Ransomware to złośliwe oprogramowanie należące do rodziny ransomware STOP/Djvu, znanej z szerokiego wpływu na dane osobowe i organizacyjne. Ten wariant ransomware szyfruje pliki w zainfekowanych systemach, czyniąc je niedostępnymi dla użytkowników i żąda okupu za odszyfrowanie. Gdy Vook Ransomware infekuje komputer, wykorzystuje algorytm szyfrowania Salsa20 do blokowania plików, dołączając .vook rozszerzenie każdego zaszyfrowanego pliku. To sprawia, że ​​pliki są niedostępne i łatwe do zidentyfikowania jako zaszyfrowane przez tę konkretną odmianę oprogramowania ransomware. Po procesie szyfrowania Vook Ransomware generuje notatkę z żądaniem okupu o nazwie _readme.txt i umieszcza go w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje dla ofiar dotyczące sposobu kontaktowania się z atakującymi za pośrednictwem poczty elektronicznej oraz kwoty okupu, zwykle wymaganej w kryptowalutach. Notatka może również oferować bezpłatne odszyfrowanie pojedynczego pliku jako „gwarancję”, że osoby atakujące będą mogły odszyfrować pliki po dokonaniu płatności.

Rocklee Ransomware to odmiana oprogramowania ransomware z rodziny Makop, którego celem są komputery w celu szyfrowania danych i żądania okupu za klucz deszyfrujący. Po infekcji Rocklee Ransomware szyfruje pliki i modyfikuje ich nazwy, dołączając identyfikator ofiary, adres e-mail atakującego i adres e-mail .rocklee rozbudowa. Na przykład plik o nazwie 1.jpg zostanie przemianowany na 1.jpg.[random-ID].[cyberrestore2024@onionmail.org].rocklee. Specyficzny algorytm szyfrowania używany przez Rocklee Ransomware nie jest szczegółowo opisany w dostarczonych źródłach. Jednak tego rodzaju oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, które trudno złamać bez unikalnego klucza deszyfrującego posiadanego przez atakujących. Rocklee Ransomware upuszcza list z żądaniem okupu o nazwie +README-WARNING+.txt w katalogach z zaszyfrowanymi plikami. Ta notatka informuje ofiary, że ich pliki zostały zaszyfrowane i zawiera instrukcje dotyczące zapłacenia okupu w celu odzyskania plików. Zawiera także dane kontaktowe osób atakujących i ostrzega przed próbami odszyfrowania plików bez odpowiedniego klucza, ponieważ może to prowadzić do dalszych szkód.

Kool Ransomware to rodzaj złośliwego oprogramowania należący do szerszej kategorii oprogramowania ransomware. Jego celem jest infiltracja komputera użytkownika, szyfrowanie plików i żądanie okupu za klucz deszyfrujący. Kool Ransomware jest częścią rodziny ransomware STOP/Djvu, która znana jest z atakowania użytkowników systemu Windows i szyfrowania plików z różnymi rozszerzeniami. Gdy Kool Ransomware zainfekował komputer, szyfruje pliki i dołącza do zaszyfrowanych plików określone rozszerzenie, czyli .kool w tym przypadku. Szyfrowanie używane przez Kool Ransomware jest zazwyczaj algorytmem symetrycznym lub asymetrycznym, który uniemożliwia dostęp do plików bez unikalnego klucza deszyfrującego. Po zaszyfrowaniu plików Kool Ransomware generuje żądanie okupu, zazwyczaj nazwane _readme.txt lub podobny i umieszcza go w folderach zawierających zaszyfrowane pliki. Notatka ta zawiera instrukcje dla ofiary dotyczące sposobu zapłaty okupu i często zawiera termin oraz ostrzeżenia o konsekwencjach nieprzestrzegania okupu. W tym artykule pokazujemy, jak bezpłatnie usunąć Kool Ransomware i odszyfrować pliki .kool w Windows 11, 10, 8, 7.

Proton Ransomware to złośliwe oprogramowanie zaprojektowane do szyfrowania plików na komputerze ofiary, czyniąc je niedostępnymi do czasu zapłacenia okupu. Proton Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na zainfekowanym komputerze, dodając określone rozszerzenia do nazw plików i żądając od ofiary okupu za przywrócenie dostępu do zaszyfrowanych plików. Odkryto go w różnych formach, z niektórymi wariantami dołączającymi rozszerzenia, takie jak .c77l, .ZENEX or .SWIFT rozszerzenia do plików, których dotyczy problem, wraz z wiadomościami e-mail (.[decrypt.computer@gmail.com].c77L, [decrypthelp0@gmail.com].ZENEX, .[swift_1@tutamail.com].SWIFT). Zasadniczo SWIFT Ransomware i ZENEX Ransomware to tylko odmiany Proton Ransomware. Te odmiany tworzą następujące pliki z żądaniem okupu: #Zenex-Help.txt, #SWIFT-Help.txt or #Restore-files.txt. Ransomware wykorzystuje algorytmy AES (Advanced Encryption Standard) i ECC (Elliptic Curve Cryptography) do szyfrowania plików, zapewniając, że szyfrowanie jest wystarczająco silne, aby zapobiec nieautoryzowanemu odszyfrowaniu bez unikalnego klucza posiadanego przez atakujących. Celem tego artykułu jest przedstawienie kompleksowego przeglądu oprogramowania Proton Ransomware, w tym metod infekcji, dodawanych rozszerzeń plików, używanych algorytmów szyfrowania, tworzonego żądania okupu i możliwości odszyfrowania.

LockBit 3.0, znany również jako LockBit Black, to wyrafinowany szczep oprogramowania ransomware, który szyfruje dane w docelowych systemach, zakłócając dostęp do zasobów systemowych i sieciowych. Jest częścią operacji Ransomware-as-a-Service (RaaS), co oznacza, że ​​jest wykorzystywane przez podmioty stowarzyszone, które wdrażają je w cyberatakach w zamian za część zysków z okupu. LockBit 3.0 znany jest z możliwości szybkiego szyfrowania i jest aktywny co najmniej od marca 2022 roku. Podczas procesu szyfrowania LockBit 3.0 dodaje do zaszyfrowanych plików określone rozszerzenie. To rozszerzenie może się różnić, ale przykłady obejmują „HLJkNskOq” i „19MqZqZ0s”. Ransomware zmienia ikony zaszyfrowanych plików i tapetę pulpitu, aby poinformować ofiary o ataku. LockBit 3.0 upuszcza żądanie okupu, zazwyczaj nazwane [random_string].README.txt lub podobny plik tekstowy w każdym zaszyfrowanym folderze. Notatka zawiera instrukcje dotyczące skontaktowania się z atakującymi i zapłacenia okupu, często żądając zapłaty w kryptowalutie.

RansomHub Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii wirusów szyfrujących pliki. Jego celem jest infiltrowanie systemów komputerowych, szyfrowanie plików i żądanie okupu za klucz deszyfrujący. W przeciwieństwie do tradycyjnego oprogramowania ransomware, które szyfruje pliki i żąda płatności, RansomHouse powiązany z RansomHub koncentruje się na włamywaniu się do sieci za pomocą luk w zabezpieczeniach w celu kradzieży danych i zmuszania ofiar do płacenia bez konieczności korzystania z szyfrowania. RansomHub może dodawać różne rozszerzenia do zaszyfrowanych plików, takie jak .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky lub rozszerzenie o długości 6-7 składające się z losowych znaków. Konkretne algorytmy szyfrowania używane przez RansomHub nie są szczegółowe, ale oprogramowanie ransomware zazwyczaj wykorzystuje silne metody szyfrowania, takie jak AES lub RSA, aby zapobiec nieautoryzowanemu odszyfrowaniu. RansomHub tworzy notatki z żądaniem okupu zawierające instrukcje dla ofiar, jak zapłacić okup i potencjalnie odzyskać swoje pliki. Typowe nazwy plików z żądaniem okupu obejmują README_{random-string}.txti różne inne. Lokalizacja żądania okupu zazwyczaj znajduje się w katalogach zaszyfrowanych plików.