Ransomware

Dazx Ransomware jest wersją tzw STOP/Djvu rodzina ransomware. Jest to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda zapłaty okupu w zamian za klucz odszyfrowywania. Kiedy Dazx Ransomware infekuje komputer, szyfruje pliki ofiary przy użyciu silnego algorytmu szyfrowania, czyniąc je niedostępnymi dla ofiary. Złośliwe oprogramowanie wykorzystuje algorytm szyfrowania symetrycznego do szyfrowania plików ofiary. W szczególności używa szyfru strumieniowego Salsa20 do szyfrowania danych. Klucz szyfrowania jest generowany losowo dla każdej ofiary i jest przechowywany na serwerze atakującego. Zaszyfrowane pliki będą miały dodane nowe rozszerzenie do ich nazw plików, takie jak .dazx. Dazx Ransomware tworzy również plik z żądaniem okupu o nazwie _readme.txt w każdym folderze zawierającym zaszyfrowane pliki. Ten plik zawiera instrukcje, jak zapłacić okup, aby otrzymać klucz odszyfrowywania. Żądanie okupu ostrzega również ofiarę przed próbą odszyfrowania plików przy użyciu oprogramowania innych firm, ponieważ może to spowodować trwałą utratę danych.

Code to nazwa nowego wariantu oprogramowania ransomware, które infekuje organizacje w celu szyfrowania danych i wyłudzania pieniędzy w zamian za klucz odszyfrowywania. Podczas szyfrowania dołącza rozszerzenie .code rozszerzenie i tworzy żądanie okupu (tzw !!!HOW_TO_DECRYPT!!!.txt) z instrukcjami, jak odszyfrować zablokowane dane. Oto jak wyglądałby zainfekowany plik po zaszyfrowaniu: 1.pdf.code, 2.png.code, i tak dalej z innymi typami plików, na które atakuje wirus. W notatce cyberprzestępcy próbują nakłonić ofiary do zapłacenia okupu za odszyfrowanie. Mówi się, że ofiary muszą zainstalować komunikator TOX i pisać do szantażystów, korzystając z dostarczonego identyfikatora TOX. O ile ofiary nie spełnią tych żądań i nie odmówią zakupu narzędzia do odszyfrowania, cyberprzestępcy grożą losowym udostępnianiem zaszyfrowanych danych innym stronom lub wyciekiem/sprzedażą ich w ciemnej sieci i innych podejrzanych zasobach.

Dapo Ransomware jest wariantem STOP/Djvu Ransomware, który jest rodzajem złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda zapłaty okupu w zamian za klucz odszyfrowywania w celu przywrócenia plików. Podczas szyfrowania to złośliwe oprogramowanie modyfikuje rozszerzenia plików .dapo. Po zakończeniu procesu szyfrowania ransomware upuszcza żądanie okupu na pulpicie ofiary iw każdym folderze zawierającym zaszyfrowane pliki. Notatka zawiera instrukcje, jak zapłacić okup, aby otrzymać klucz deszyfrujący. Atakujący zwykle żądają zapłaty w kryptowalucie, takiej jak Bitcoin. Ważne jest, aby pamiętać, że nie ma gwarancji, że zapłacenie okupu spowoduje odszyfrowanie plików. W niektórych przypadkach ofiary zapłaciły okup, ale nigdy nie otrzymały klucza deszyfrującego, podczas gdy w innych przypadkach klucz deszyfrujący dostarczony przez atakujących okazał się nieskuteczny. Nazwa pliku z żądaniem okupu używana przez Dapo Ransomware jest zgodna z tą samą konwencją nazewnictwa. Plik ma nazwę _readme.txt. Żądanie okupu zawiera instrukcje, jak zapłacić okup w celu otrzymania klucza deszyfrującego i zwykle zawiera adres e-mail, którego ofiara może użyć do komunikowania się z atakującymi.

Qarj to nowy wariant oprogramowania ransomware opracowany i opublikowany przez szablon notorious STOP/Djvu rodzina. Ten konkretny wariant został wydany w marcu 2023 roku. Będąc wirusem szyfrującym pliki, blokuje dostęp do danych osobowych za pomocą bezpiecznych algorytmów szyfrowania. Oznacza to, że pliki przechowywane na komputerze nie będą już otwierane przez użytkowników, dopóki nie zostaną odszyfrowane. Obecnie istnieją niewielkie szanse na odszyfrowanie plików zaszyfrowanych przez Qarj. Tylko 1-2% przypadków można odszyfrować, jeśli spełnione są określone warunki. Korzystaj ze wszystkich instrukcji na tej stronie, dopóki nie odzyskasz części danych. Aby pokazać, że wszystkie pliki zostały zablokowane, programiści dołączają nowy .qarj rozszerzenie każdego z plików. Na przykład próbka pliku, taka jak 1.pdf zmieni się na 1.pdf.qarj i ostatecznie zresetuj jego ikonę. Po zakończeniu tej części szyfrowania wirus tworzy notatkę tekstową (_readme.txt) z instrukcjami żądającymi okupu.

Qapo Ransomware to nowy program do szyfrowania plików opracowany i opublikowany przez autorów STOP/Djvu rodzina. Niemal wszystkie wersje uprawnione do tej grupy szantażystów stosują podobne kroki w celu wyłudzenia pieniędzy od ofiar. Ten konkretny wariant został wydany w połowie marca 2023 r. Gdy Qapo dostanie się na Twój komputer, przeprowadza szybkie skanowanie systemu w celu znalezienia poufnych danych. Następnie, po zakończeniu tego procesu, szkodliwy program zaczyna szyfrować twoje dane. W tym czasie wszystkie pliki są zmieniane z rozszerzeniem .qapo rozszerzenie, które pojawia się na końcu każdej nazwy pliku. Na przykład plik podobny do 1.pdf zmieni się na 1.pdf.qapoi podobnie. Gdy zauważysz taką natychmiastową zmianę, nie będziesz już mieć dostępu do danych. Aby go odszyfrować, cyberprzestępcy instruują ofiary, wykonując kroki wymienione w notatce tekstowej (_readme.txt), który otwiera się na końcu szyfrowania. Wszystkie najnowsze wersje tej rodziny ransomware używały identycznego tekstu w notatkach.

Qazx Ransomware nazywa się tak, ponieważ .qazx rozszerzenie, dodawane do plików, których dotyczy problem, modyfikujące oryginalne rozszerzenia różnych typów wrażliwych danych. Ta wersja pojawiła się w połowie marca 2023 roku. Technicznie rzecz biorąc, tak jest STOP Ransomware, który używa algorytmów szyfrowania AES do szyfrowania plików użytkownika. Sufiks ten jest jednym z setek różnych rozszerzeń używanych przez to złośliwe oprogramowanie. Czy to oznacza, że ​​straciłeś cenne dane? Niekoniecznie. Istnieją pewne metody, które umożliwiają całkowite lub częściowe odzyskanie plików. Istnieje również bezpłatne narzędzie do odszyfrowywania o nazwie STOP Djvu Decryptor od EmsiSoft, który jest stale aktualizowany i jest w stanie odszyfrować setki rodzajów tego wirusa. Po zakończeniu swojej katastrofalnej działalności tworzy Qazx Ransomware _readme.txt plik (żądanie okupu), w którym informuje użytkowników o fakcie zaszyfrowania, wysokości okupu i warunkach płatności.

Jeśli nie możesz otworzyć plików, a one mają .craa rozszerzenie dodane na końcu nazw plików oznacza, że ​​komputer jest zainfekowany Craa Ransomware, część STOP/Djvu Ransomware rodzina. Szkodnik ten dręczy swoje ofiary od 2017 roku i już stał się najbardziej rozpowszechnionym wirusem typu ransomware w historii. Infekuje tysiące komputerów dziennie przy użyciu różnych metod dystrybucji. Wykorzystuje złożoną kombinację algorytmów szyfrowania symetrycznego lub asymetrycznego, usuwa punkty przywracania systemu Windows, poprzednie wersje plików systemu Windows, kopie w tle i zasadniczo pozostawia tylko 3 możliwości odzyskiwania. Pierwszym z nich jest zapłacenie okupu, jednak nie ma absolutnie żadnej gwarancji, że złoczyńcy odeślą klucz deszyfrujący. Druga możliwość jest bardzo mało prawdopodobna, ale warta wypróbowania – przy użyciu specjalnego narzędzia deszyfrującego firmy Emsisoft, tzw STOP Djvu Decryptor. Działa tylko pod kilkoma warunkami, które opisujemy w następnym akapicie. Trzecim jest używanie programów do odzyskiwania plików, które często działają jako obejście problemów z infekcją ransomware. Przyjrzyjmy się plikowi z żądaniem okupu (_readme.txt), które wirus umieszcza na pulpicie oraz w folderach z zaszyfrowanymi plikami.

Esxi (ESXiArgs) Ransomware to złośliwa infekcja, której celem są organizacje poprzez wykorzystanie luk w zabezpieczeniach VMware ESXi - narzędzie maszyny wirtualnej służące do zarządzania i optymalizacji różnych procesów w organizacjach. Raporty dotyczące bezpieczeństwa wskazują, że cyberprzestępcy wykorzystują znane luki w VMware ESXi, aby uzyskać dostęp do serwerów i wdrożyć ransomware ESXiArgs w atakowanym systemie. Po zakończeniu wirus zacznie szukać zaszyfrowanych plików znajdujących się na maszynie wirtualnej z następującymi rozszerzeniami: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Dla każdego zaszyfrowanego pliku ransomware utworzy również osobny plik z .ESXiArgs or .args rozszerzenie z metadanymi w środku (prawdopodobnie konieczne do przyszłego odszyfrowania).