Ransomware

Coty Ransomware jest częścią dużej STOP/Djvu Ransomware. Ma swoją nazwę, ponieważ oryginalne wersje złośliwego oprogramowania dodały rozszerzenie .stop (później .djvu) i zaszyfrował je kombinacją kryptografii AES i RSA, aby uniemożliwić dostęp do plików na zainfekowanym komputerze z systemem Windows. Coty Ransomware zgodnie ze swoją nazwą dodaje .coty rozszerzenie. Ta wersja pojawiła się pod koniec kwietnia 2023 roku. Gdy ransomware Coty/STOP zakończy procedurę szyfrowania, wirus tworzy żądanie okupu, aby _readme.txt plik. Wiadomość od oszustów mówi, że ofiary muszą zapłacić okup w ciągu 72 godzin. Twórcy wirusa STOP żądają 490 dolarów w ciągu pierwszych trzech dni i 980 dolarów po tym okresie. Aby potwierdzić, hakerzy zezwalają na wysłanie 1-3 „niezbyt dużych” plików w celu bezpłatnego odszyfrowania support@freshmail.top or datarestorehelp@airmail.cc na test.

Cooper to wirus ransomware, który infekuje systemy w celu zaszyfrowania potencjalnie ważnych plików i żąda pieniędzy za ich odszyfrowanie. Wraz z uruchomieniem bezpiecznego szyfrowania przypisuje również .cooper rozszerzenie do plików, których dotyczy problem. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.cooper i utracić swoją pierwotną ikonę. Po tej zmianie pliki nie będą już nadawać się do użytku, nawet jeśli usuniesz dodane rozszerzenie. Aby odwrócić te zmiany, instrukcje odszyfrowywania są prezentowane w pliku Cooper_Recover.txt plik. Cyberprzestępcy nakłaniają ofiary do skontaktowania się z nimi za pośrednictwem poczty e-mail i zapłacenia za unikalne oprogramowanie deszyfrujące. Aktorzy stanowiący zagrożenie to jedyne osoby, które mają do niego dostęp, i mówi się, że żadne inne narzędzie nie jest w stanie zapewnić odszyfrowania zaszyfrowanych plików .cooper. Podczas kontaktu ofiary są również proszone o podanie identyfikatora w temacie wiadomości e-mail. Niestety, jeśli nie masz dostępnej kopii zapasowej, której można użyć do odzyskania kopii zaszyfrowanych plików, zapłacenie okupu cyberprzestępcom może być jedynym sposobem na odzyskanie plików. Wiele infekcji ransomware wykorzystuje silne algorytmy szyfrowania i generuje klucze online, dzięki czemu odszyfrowanie jest prawie niemożliwe bez pomocy początkowych programistów.

Coza to nowa próbka oprogramowania ransomware opracowana przez cieszącą się złą sławą grupę szantażystów STOP/Djvu. Podobnie jak wiele innych wariantów opublikowanych przez tych cyberprzestępców, ten wykorzystuje niemal identyczny schemat szyfrowania i wymuszania. Po osiedleniu się na zainfekowanej maszynie wirus zaczyna skanować, a tym samym szyfrować potencjalnie ważne fragmenty danych. W ten sposób wirus ma na celu zachęcenie ofiar do zapłacenia za odszyfrowanie zaproponowane przez atakujących. Oprócz szyfrowania, złośliwe oprogramowanie zapewnia również ofiarom możliwość odróżnienia plików zablokowanych od niezablokowanych – po prostu przypisując rozszerzenie .coza rozbudowa. Na przykład plik o wcześniejszej nazwie 1.xlsx zmieni się na 1.xlsx.coza, 1.pdf do 1.pdf.coza i tak dalej z innymi docelowymi typami plików. Mówi się, że aby cofnąć szyfrowanie, ofiary postępują zgodnie z instrukcjami zawartymi w pliku _readme.txt notatka tekstowa.

Pwpdvl to wirus ransomware zaprojektowany do wyłudzania pieniędzy od ofiar poprzez szyfrowanie danych. Innymi słowy, osoby dotknięte tym złośliwym oprogramowaniem nie będą już mogły uzyskiwać dostępu do swoich plików ani ich przeglądać. Kiedy Pwpdvl szyfruje potencjalnie ważne pliki, przypisuje również identyfikator ofiary wraz z .pwpdvl rozszerzenie na koniec. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdf.[ID-9ECFA84E].pwpdvl i odpocznij swoją oryginalną ikonę. Aby zmusić ofiary do zapłacenia pieniędzy za odzyskanie, program szyfrujący pliki tworzy notatkę tekstową z żądaniem okupu (RESTORE_FILES_INFO.txt), który zawiera instrukcje odszyfrowywania. Od ofiar żąda się kontaktu z oszustami (za pośrednictwem Bitmessage lub qTOX) i zapłaty za odszyfrowanie w kryptowalucie Monero (XMR). Przed wysłaniem płatności cyberprzestępcy oferują również przetestowanie bezpłatnego odszyfrowania – ofiary mogą wysłać 2 zaszyfrowane pliki (nieważne i maksymalnie 1 MB) i odblokować je za darmo. Jest to rodzaj gwarancji, którą szantażyści oferują, aby udowodnić swoje umiejętności odszyfrowywania i dać dodatkową pewność zapłacenia okupu. Należy jednak pamiętać, że zaufanie do cyberprzestępców zawsze wiąże się z ryzykiem. Niektórzy użytkownicy dają się oszukać i nie otrzymują obiecanych narzędzi/kluczy do odszyfrowania, niezależnie od spełnienia żądań. Mimo to, niestety tylko twórcy oprogramowania ransomware posiadają klucze deszyfrujące niezbędne do bezpiecznego przywrócenia dostępu do danych. Niezależne odszyfrowanie przy użyciu narzędzi innych firm lub kopii w tle systemu Windows może być możliwe, ale w bardzo rzadkich przypadkach, gdy oprogramowanie ransomware zawiera wady lub nie udało się zaszyfrować danych zgodnie z przeznaczeniem.

VapeV7 to wirus ransomware przeznaczony do szyfrowania danych w pomyślnie zainfekowanych systemach. W ten sposób wirus sprawia, że ​​użytkownicy nie mają już dostępu do własnych danych ani ich przeglądania, co umożliwia cyberprzestępcom żądanie pieniędzy za ich odszyfrowanie. Zaszyfrowane pliki pojawią się wraz z nowym .VapeV7 rozszerzenie i zresetuj ich oryginalne ikony do pustych. Następnie ofiary otrzymają instrukcje odszyfrowywania w dedykowanym oknie pop-up. W celu przywrócenia dostępu do danych ofiary są proszone o przesłanie 200 dolarów na portfel BTC cyberprzestępców (za pośrednictwem adresu znajdującego się w wyskakującym okienku) oraz powiadomienie szantażystów e-mailem o identyfikatorze transakcji. Należy pamiętać, że portfele BTC i e-maile kontaktowe zmieniają się co sekundę, powodując wiele niepewności co do tego, jakiego adresu portfela i e-maila użyć. Ponadto wyświetlane portfele BTC są w rzeczywistości nieprawidłowe, a zatem w ogóle nie istnieją. Takie dziwne zjawisko może być oznaką, że VapeV7 Ransomware jest podsłuchiwany lub wciąż jest w fazie rozwoju. Nie wykluczono jednak, że cyberprzestępcy stojący za tym oprogramowaniem ransomware usuną błędy i zaatakują przyszłe ofiary bardziej niezawodnymi wskazówkami dotyczącymi odszyfrowywania. Niestety, pomimo tego faktu, prawdopodobieństwo ręcznego odszyfrowania plików zaszyfrowanych przez VapeV7 Ransomware jest mniejsze.

Charmant to złośliwy program należący do kategorii ransomware. Takie złośliwe oprogramowanie ma na celu szyfrowanie dostępu do danych i zmuszanie ofiar do płacenia pieniędzy za ich odszyfrowanie. Szyfrując dostęp do plików przechowywanych w systemie, ten wariant ransomware przypisuje również rozszerzenie .charmant rozszerzenie, aby podświetlić zablokowane dane. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf i utracić swoją pierwotną ikonę. Natychmiast po zakończeniu szyfrowania zostanie wyświetlona notatka tekstowa o nazwie #RECOVERY#.txt zostanie utworzony zgodnie z wytycznymi dotyczącymi odszyfrowywania. Aby nawiązać kontakt z cyberprzestępcami i zażądać odszyfrowania zablokowanych plików, ofiary proszone są o napisanie wiadomości e-mail lub klienta Jabber (bezpieczna usługa przesyłania wiadomości). Po udanej komunikacji z cyberprzestępcami ofiary najprawdopodobniej będą musiały zapłacić określoną opłatę okupu w celu uzyskania specjalnego oprogramowania i klucza deszyfrującego. Ponadto wiadomość ostrzega również przed przeprowadzaniem jakichkolwiek modyfikacji plików lub próbą ich odszyfrowania za pomocą narzędzi innych firm, ponieważ takie działania mogą doprowadzić do trwałego uszkodzenia. Chociaż informacje te mogą początkowo mieć na celu przestraszenie niedoświadczonych użytkowników i ostatecznie zapłacenie za odszyfrowanie, w rzeczywistości jest to prawda. Bez odpowiednich kluczy deszyfrujących przechowywanych przez cyberprzestępców rzadko możliwe jest pełne odszyfrowanie plików bez ryzyka uszkodzenia. W chwili pisania tego artykułu żadne narzędzie innej firmy nie jest w stanie odszyfrować zablokowanych danych. W rzadkich przypadkach ogólne narzędzia do odszyfrowywania mogą działać tylko wtedy, gdy ransomware zawiera wady lub nie udało się zaszyfrować plików w zamierzony sposób.

W ostatnim czasie eksperci zaobserwowali epidemię wirusa Boty Ransomware (wariant STOP Ransomware or Djvu Ransomware). To złośliwe oprogramowanie pojawiło się w kwietniu 2023 roku. Jest to wirus szyfrujący, który wykorzystuje silny algorytm szyfrowania AES-256 do szyfrowania plików użytkownika i uniemożliwia ich użycie bez klucza deszyfrującego. Dodaj najnowsze wersje tego szkodnika .boty rozszerzenia do plików, których dotyczy problem. Boty Ransomware tworzy specjalny plik tekstowy o nazwie „żądanie okupu” i nazwany _readme.txt. W tym pliku tekstowym oszuści podają dane kontaktowe, ogólne informacje o szyfrowaniu i opcje odszyfrowywania. Wirus kopiuje go na pulpit i do folderów z zaszyfrowanymi plikami. Ze złoczyńcami można się kontaktować poprzez e-maile: support@freshmail.top i datarestorehelp@airmail.cc.

Boza Ransomware to nowy wariant tzw STOP/Djvu Ransomware które pojawiło się na początku kwietnia 2023 r. To oprogramowanie ransomware dodaje .boza rozszerzenia do zaszyfrowanych plików, czyniąc je niedostępnymi dla użytkownika. Podobnie jak inne warianty oprogramowania ransomware, Boza Ransomware wykorzystuje zaawansowane algorytmy szyfrowania do blokowania plików, żądając okupu w zamian za klucz odszyfrowywania. Ransomware atakuje szeroką gamę plików, w tym dokumenty, obrazy, filmy, pliki audio i inne dane użytkownika. Po zainfekowaniu komputera ransomware skanuje cały system w poszukiwaniu plików i szyfruje je za pomocą algorytmu szyfrowania AES-256, czyniąc je niedostępnymi. Oprogramowanie ransomware upuszcza również żądanie okupu o nazwie _readme.txt, dostarczając instrukcje, aby użytkownik zapłacił atakującemu okup w zamian za klucz odszyfrowywania. Atakujący używają również unikalnego klucza szyfrowania dla każdego zainfekowanego systemu, co utrudnia badaczom bezpieczeństwa opracowanie uniwersalnego narzędzia deszyfrującego.