Ransomware

Kiop Ransomware jest kolejnym przedstawicielem STOP/Djvu wirus, który dręczy użytkowników od 2017 roku. Ta konkretna wersja została wydana na początku kwietnia 2023 roku i dodaje .kiop rozszerzenie do wszystkich zaszyfrowanych plików, jak wynika z jego nazwy. Poza tym jest to ten sam wirus szyfrujący pliki i żądający okupu, co setki jego poprzedników. Ransomware tego typu wykorzystuje tę samą kryptografię, czyli niestety wciąż nieodszyfrowalną. Kiop Ransomware, podobnie jak inne warianty STOP/Djvu Ransomware, zwykle wykorzystuje kombinację algorytmów szyfrowania symetrycznego i asymetrycznego do szyfrowania plików ofiary. W szczególności ransomware używa szyfrowania AES-256 do symetrycznego szyfrowania plików ofiary, a następnie używa szyfrowania RSA-2048 do asymetrycznego szyfrowania klucza szyfrującego AES. Oznacza to, że atakujący posiada prywatny klucz RSA potrzebny do odszyfrowania klucza szyfrującego AES, dzięki czemu może odszyfrować pliki ofiary po otrzymaniu płatności. Jedyne, co zmieniło się w ciągu ostatnich lat, to adresy wewnętrzne i kontaktowe. Nazwa żądania okupu pozostaje niezmieniona (_readme.txt) i możesz sprawdzić zawartość w polu tekstowym poniżej.

Skylock to nowy wariant ransomware wywodzący się z rodziny MedusaLocker. Po udanej infiltracji wirus szyfruje dostęp do plików (w oparciu o kryptografię AES i RSA) i przypisuje .skylock rozszerzenie do nich. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf po udanym szyfrowaniu. Aby odwrócić szkody i zwrócić zablokowane dane, cyberprzestępcy przedstawiają instrukcje odszyfrowywania wewnątrz pliku How_to_back_files.html plik. Ogólnie rzecz biorąc, ofiarom mówi się, że muszą kupić specjalne oprogramowanie deszyfrujące od cyberprzestępców stojących za infekcją. W tym celu muszą nawiązać kontakt z szantażystami za pomocą jednego z kanałów komunikacji (albo poprzez link w przeglądarce TOR, albo podane adresy e-mail). Mówi się również, że ofiary mogą wysłać 2-3 pliki, które nie zawierają żadnych ważnych informacji i otrzymać je z powrotem w postaci odszyfrowanej za darmo. Ma to na celu udowodnienie, że cyberprzestępcy rzeczywiście są w stanie odszyfrować pliki. Jeśli ofiary odmówią skontaktowania się z szantażystami i zapłacenia za odszyfrowanie, ich dane zostaną ujawnione do zasobów publicznych, co może spowodować utratę reputacji firmy lub tożsamości użytkownika. Niestety, pomimo faktu, że odszyfrowanie może być dla niektórych użytkowników nieosiągalne lub niepotrzebne, cyberprzestępcy są zazwyczaj jedynymi postaciami, które mogą odszyfrować dostęp do danych.

Jeśli Twoje pliki stały się niedostępne, nieczytelne i dostały się .kiwm rozszerzenia, które oznaczają, że komputer jest zainfekowany Kiwm Ransomware (odmiana dot STOP Ransomware lub jak to się czasem nazywa DjVu Ransomware ). Jest to złośliwy program należący do grupy wirusów ransomware. Ta konkretna wersja została wydana na początku kwietnia 2023 roku. Wirus ten może infekować prawie wszystkie nowoczesne wersje systemów operacyjnych z rodziny Windows, w tym Windows 7, Windows 8, Windows 10 i najnowszy Windows 11. Szkodnik wykorzystuje szyfrowanie hybrydowe tryb i długi klucz RSA, co praktycznie eliminuje możliwość wyboru klucza do samoodszyfrowania plików. Podobnie jak inne podobne wirusy, celem Kiwm Ransomware jest zmuszenie użytkowników do zakupu programu i klucza potrzebnego do odszyfrowania plików, które zostały zaszyfrowane. Wersja, która jest obecnie badana, jest prawie identyczna z poprzednimi wersjami, z wyjątkiem nowych wiadomości e-mail służących do kontaktowania się ze złoczyńcami oraz dodanych nowych rozszerzeń.

Kitz Ransomware (należy do rodziny ur STOP Ransomware or Djvu Ransomware) to wirus szyfrujący pliki wysokiego ryzyka, który atakuje systemy Windows. Na początku kwietnia 2023 roku nowa generacja tego złośliwego oprogramowania zaczęła szyfrować pliki przy użyciu .kitz rozszerzenia. Wirus atakuje ważne i cenne typy plików, takie jak zdjęcia, dokumenty, filmy, archiwa, zaszyfrowane pliki stają się bezużyteczne. Ransomware umieszcza _readme.txt plik, zwany "notatką z żądaniem okupu" lub "notatką z żądaniem okupu" na pulpicie oraz w folderach z zaszyfrowanymi plikami. Deweloperzy używają następujących adresów e-mail do kontaktu: support@freshmail.top i datarestorehelp@airmail.cc. Hakerzy żądają 980 dolarów za odszyfrowanie twoich plików (wiadomość mówi, że ofiary otrzymają 50% zniżki, jeśli skontaktują się z cyberprzestępcami w ciągu 72 godzin po zaszyfrowaniu). Według wielu raportów przestępcy często nie odpowiadają ofiarom, gdy otrzymują okup. Zdecydowanie nie zalecamy płacenia jakichkolwiek pieniędzy. Pliki zaszyfrowane przez niektóre wersje Kitz Ransomware można odszyfrować za pomocą STOP Djvu Decryptor.

BlackByteNT jest niedawno odkrytą infekcją ransomware. Po tym, jak system zostanie nim zinfiltrowany, wszystkie potencjalnie ważne typy plików staną się niedostępne z powodu pełnego szyfrowania. Oprócz szyfrowania dostępu do danych, narzędzie do szyfrowania plików zastępuje również oryginalne nazwy plików losowym ciągiem znaków i .blackbytent rozszerzenie na koniec. Na przykład plik taki jak 1.pdf zmieni się w coś takiego dnoJJlc=.blackbytent i utracić również swoją oryginalną ikonę. Ostatnią znaczącą częścią oprogramowania ransomware jest BB_Readme_[losowy_ciąg].txt⁣ – żądanie okupu zawierające wskazówki dotyczące odszyfrowywania. Cyberprzestępcy twierdzą, że dane zostały zaszyfrowane i przeniesione na ich serwery. Aby przywrócić dostęp i zapobiec wyciekowi danych, ofiary są proszone o współpracę z szantażystami i podążanie za informacjami przedstawionymi za pośrednictwem łącza TOR podanego w wiadomości. Jeśli ofiary opóźnią komunikację, cena za odszyfrowanie wzrośnie, aw ciągu 4 dni bezczynności ofiary nie będą już mogły korzystać z usług odszyfrowywania cyberprzestępców. Wreszcie, cyberprzestępcy ostrzegają ofiary przed używaniem narzędzi deszyfrujących stron trzecich, zakładając, że istnieje ryzyko ich uszkodzenia, a tym samym utraty możliwości ich odszyfrowania.

STOP Ransomware (Djvu Ransomware) jest oficjalnie najpopularniejszym wirusem szyfrującym na świecie. Program szyfrujący działa zgodnie z klasycznym schematem: szyfruje pliki, dodaje do nich nowe rozszerzenie i umieszcza żądanie okupu na zainfekowanej maszynie. Ponad 50% komputerów zainfekowanych ransomware jest zainfekowanych STOP Ransomware. Ma drugie imię – ⁣Djvu Ransomware, po przedłużeniu .djvu, który został dołączony do plików na pierwszych zainfekowanych komputerach. Z kilkoma mniejszymi i większymi modyfikacjami wirus kontynuuje swoją niszczycielską aktywność w dzisiejszych czasach. Najnowsza odmiana złośliwego oprogramowania (Kifr Ransomware ukazał się w kwietniu 2023 r.) dodaje .kifr rozszerzenie do plików . Kifr Ransomware szyfruje pliki ofiar przy użyciu algorytmu szyfrowania AES. AES (Advanced Encryption Standard) to szeroko stosowany algorytm szyfrowania symetrycznego, który jest uważany za bezpieczny i jest używany do ochrony poufnych danych w wielu aplikacjach. Szyfrowanie AES wykorzystuje tajny klucz do szyfrowania i odszyfrowywania danych, a siła szyfrowania zależy od długości użytego klucza. Oczywiście zainfekowane pliki stają się niedostępne bez specjalnego "deszyfratora", który trzeba kupić od hakerów.

Nitz Ransomware to duża rodzina wirusów szyfrujących o ponad rocznej historii. W tym czasie przeszedł wiele modyfikacji wizualnych i technicznych. Ten artykuł opisuje specyficzne właściwości najnowszych wersji tego złośliwego oprogramowania. Od początku kwietnia 2023 r. STOP Ransomware zaczęło dodawać następujące rozszerzenia do zaszyfrowanych plików: .nitz. And after the name of the extension, it is called "Nitz Ransomware". Virus modifies the "hosts" file to block Windows updates, antivirus programs, and sites related to security news. The process of infection also looks like installing Windows updates, the malware generates a fake window and progress bar for this. This version of STOP Ransomware now uses the following e-mail addresses: support@freshmail.top i datarestorehelp@airmail.cc. STOP Ransomware tworzy plik z żądaniem okupu _readme.txt.

Jeśli trafiłeś na ten artykuł, najprawdopodobniej zostałeś trafiony Niwm Ransomware, który zaszyfrował twoje pliki i zmodyfikował ich rozszerzenia na .niwm. Nazwa Niwm jest nadawana temu złośliwemu oprogramowaniu tylko po to, aby pomóc użytkownikom znaleźć rozwiązanie do usuwania i odszyfrowywania, zgodnie z sufiksem, który dołącza. W rzeczywistości jest to tylko 681-ta wersja STOP Ransomware (czasem nazywany Djvu Ransomware), który jest aktywny od ponad 5 lat i stał się jedną z najbardziej rozpowszechnionych rodzin ransomware. Niwm został wydany w pierwszych dniach kwietnia 2023 roku. Niestety, szanse na 100% odszyfrowanie są teraz niewielkie, ponieważ wykorzystuje silne algorytmy szyfrowania, jednak dzięki poniższym instrukcjom będziesz w stanie odzyskać niektóre pliki. wykorzystuje kombinację algorytmów szyfrowania RSA i AES do szyfrowania plików ofiary. Algorytm RSA służy do szyfrowania klucza AES, a algorytm AES do szyfrowania plików ofiary. Klucz AES jest generowany losowo dla każdej ofiary i przechowywany na serwerze atakującego. Ale najpierw musisz usunąć pliki ransomware i zabić jego procesy. Poniżej znajduje się przykład żądania okupu Niwm Ransomware, które pozostawia na pulpicie (_readme.txt). Jest dość typowy i pozostaje prawie taki sam z niewielkimi zmianami od kilku lat.