Ransomware

Alice Ransomware to szkodliwy program przeznaczony do szyfrowania danych osobowych użytkowników i żądania pieniędzy za ich odszyfrowanie. Szyfrując dostęp do plików za pomocą bezpiecznych algorytmów, program do szyfrowania plików przypisuje również rozszerzenie .alice rozszerzenie do zaszyfrowanych danych. Na przykład plik taki jak 1.pdf prawdopodobnie zmieni się na 1.pdf.alice i zresetuj jego oryginalną ikonę. Wiele infekcji ransomware przypisuje swoje niestandardowe rozszerzenie, aby odróżnić zaszyfrowane pliki i sprawić, by użytkownicy zauważyli zmianę. Instrukcje dotyczące zwrotu plików znajdują się w pliku How To Restore Your Files.txt plik tekstowy, który zostanie utworzony po pomyślnym zaszyfrowaniu. Ta notatka tekstowa zawiera wytyczne napisane w języku rosyjskim, co wskazuje, że ten program szyfrujący jest skierowany głównie do użytkowników rosyjskojęzycznych. Warto zauważyć, że Alice była dystrybuowana w dwóch wariantach z nieznacznie różniącym się tekstem żądania okupu.

STOP Ransomware to plaga lat 2017-2023, wytrwały wirus oparty na technologii szyfrowania, Qotr Ransomware to jego najnowsza wersja. Ransomware używa algorytmu szyfrowania AES do kodowania ważnych plików i wymusza okup w bitcoinach za odszyfrowanie. To złośliwe oprogramowanie atakuje głównie kraje zachodnie, ale w innych częściach świata wykryto tysiące infekcji. Qotr Ransomware używa tych samych wzorców, ale dodaje różne rozszerzenia w celu modyfikacji plików. Wersja, którą obserwujemy dzisiaj, dołącza .qotr rozszerzenie. Kryptowirus wpływa na cenne dane użytkownika: zdjęcia, filmy i dokumenty, bierze potencjalnie krytyczne pliki jako zakładników. Jednocześnie zachowuje nienaruszone pliki systemowe Windows. Wszystkie najnowsze wersje używały pliku z żądaniem okupu o nazwie _readme.txt, a ta odmiana nie jest wyjątkiem. Wszystkie próbki należą do tych samych autorów, ponieważ używają tych samych danych kontaktowych: support@freshmail.top i datarestorehelp@airmail.cc.

Qoqa Ransomware (będący częścią dużej rodziny STOP/Djvu Ransomware) to nieznośny wirus, który szyfruje pliki na komputerach za pomocą algorytmu szyfrowania AES, uniemożliwiając ich dostęp i żądając pieniędzy w zamian za tzw. "deszyfrator". Pliki przetwarzane przez najnowszą wersję STOP Ransomware można w szczególności odróżnić po .qoqa rozszerzenia. Analiza wykazała, że ​​instalator kryptograficzny z załadowanym „crackiem” lub adware jest instalowany pod dowolną nazwą w %LocalAppData%\ teczka. Po uruchomieniu ładuje tam cztery pliki wykonywalne: 1.exe, 2.exe, 3.exe i updatewin.exe. Pierwszy z nich jest odpowiedzialny za neutralizację Windows Defender, drugi za blokowanie dostępu do stron bezpieczeństwa informacji. Po uruchomieniu szkodliwego oprogramowania na ekranie pojawia się fałszywa wiadomość informująca o zainstalowaniu aktualizacji dla systemu Windows. W rzeczywistości w tej chwili prawie wszystkie pliki użytkownika na komputerze są zaszyfrowane. W każdym folderze zawierającym zaszyfrowane dokumenty plik tekstowy (_readme.txt), w którym osoby atakujące wyjaśniają działanie wirusa. Oferują im zapłacenie okupu za odszyfrowanie, namawiając ich, aby nie korzystali z programów innych firm, ponieważ może to doprowadzić do usunięcia wszystkich dokumentów.

Roghe to wirus ransomware atakujący dane osobowe ofiar. Po zainfekowaniu docelowego systemu złośliwe oprogramowanie rozpoczyna szyfrowanie potencjalnie ważnych plików, czyniąc je niedostępnymi do czasu odzyskania klucza deszyfrującego. Podczas procesu szyfrowania Roghe Ransomware przypisuje .enc rozszerzenie do zainfekowanych plików. Na przykład plik taki jak 1.pdf zwróci się do 1.pdf.enc i tak dalej z innymi plikami, których dotyczy problem. Po zaszyfrowaniu wszystkich plików wirus zmienia tapetę pulpitu i wymusza otwarcie wyskakującego okienka zawierającego wskazówki dotyczące odszyfrowywania. Tekst znajdujący się na nowo przypisanych tapetach informuje użytkowników, że zostali zarażeni i zachęca ich do postępowania zgodnie z instrukcjami wyświetlanymi w otwartym oknie pop-up. Ponadto zawiera również kod QR prowadzący do dodatkowych informacji o złośliwym oprogramowaniu. Okno "Roghe Decryptor" mówi, że ofiary mają 15 minut na odzyskanie klucza i wklejenie go w celu odblokowania dostępu do plików - w przeciwnym razie zaszyfrowane pliki zostaną usunięte na zawsze. Mówi również, że w ciągu 20 minut system operacyjny będzie niedostępny, zasadniczo zostanie zablokowany.

Nowa fala STOP Ransomware infekcja trwa nadal Qowd Ransomware, to dołącza .qowd rozszerzenia. STOP Ransomware został po raz pierwszy wykryty w 2018 roku i od tego czasu przekształcił się w jeden z najbardziej rozpowszechnionych rodzajów oprogramowania ransomware. Te rozszerzenia „.qowd” są dodawane do zaszyfrowanych plików pod koniec lutego 2023 r. Ten podstępny wirus wykorzystuje algorytm szyfrowania AES do szyfrowania ważnych informacji użytkowników. Z reguły Qowd Ransomware atakuje zdjęcia, filmy i dokumenty - dane, które ludzie cenią. Twórcy złośliwego oprogramowania wymuszają okup i obiecują w zamian dostarczyć klucz deszyfrujący. Pełne odszyfrowanie utraconych danych jest możliwe w mniejszości przypadków, jeśli użyto klucza szyfrowania offline, w przeciwnym razie skorzystaj z instrukcji na stronie, aby odzyskać zaszyfrowane pliki. Oprogramowanie ransomware tworzy również żądanie okupu (_readme.txt), który informuje ofiarę o ataku i żąda zapłaty w bitcoinach lub innych kryptowalutach w zamian za klucz deszyfrujący.

Iotr Ransomware (czasem nazywany STOP Ransomware or DjVu Ransomware ) to szeroko rozpowszechniony wirus szyfrujący, który po raz pierwszy pojawił się w grudniu 2017 roku. Od tego czasu zaszło wiele zmian technicznych i projektowych, a także zmieniło się kilka generacji złośliwego oprogramowania. Ransomware wykorzystuje algorytm szyfrowania AES-256 (tryb CFB) do szyfrowania plików użytkownika, a po tej ostatniej wersji (pojawionej pod koniec lutego 2023 r.) .iotr rozszerzenia. Po zaszyfrowaniu wirus tworzy plik tekstowy _readme.txt, która nazywa się „notatką okupu”, w której hakerzy ujawniają kwotę okupu, informacje kontaktowe i instrukcje, jak go zapłacić. ZATRZYMAJ Ransomware z rozszerzeniem plików .iotr używa następujących e-maili: support@freshmail.top i datarestorehelp@airmail.cc, podobnie jak dziesiątki jego poprzedników.

Kangaroo to infekcja ransomware wypuszczona przez programistów stojących za wcześniejszymi narzędziami do szyfrowania plików, takimi jak Apocalypse, Fabiansomware i Esmeralda. Chociaż ten program do szyfrowania plików aktywnie krążył w 2021 roku, niektórzy użytkownicy mogą nadal być przez niego penetrowani. Celem złośliwego oprogramowania należącego do tej kategorii jest szyfrowanie potencjalnie ważnych danych i wyłudzanie od ofiar pieniędzy za ich odszyfrowanie. Cechą, która wyróżnia Kangaroo spośród innych typowych infekcji ransomware, jest to, że konfiguruje wartości rejestru w celu wyświetlenia wiadomości z żądaniem okupu przed wejściem na ekran logowania Windows. Zaraz po zalogowaniu do systemu wyświetla również fałszywy ekran z tą samą wiadomością z żądaniem okupu, ale tym razem z dedykowanym polem do wpisania hasła w celu odblokowania. Podczas szyfrowania Kangaroo przypisuje również .crypted_file rozszerzenie i tworzy identyczne wiadomości z żądaniem okupu w formie notatek tekstowych. Takie notatki tekstowe są tworzone dodatkowo do każdego zaszyfrowanego pliku i są nazywane na podstawie nazwy pliku po zaszyfrowaniu (jak tutaj 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (znany jako STOP Ransomware or Djvu Ransomware) to niezwykle niebezpieczny wirus, który szyfruje pliki przy użyciu algorytmu szyfrowania AES-256 i dodaje .ioqa rozszerzenia do plików, których dotyczy problem. Infekcja dotyczy głównie ważnych i cennych plików, takich jak zdjęcia, dokumenty, bazy danych, e-maile, filmy itp. Ioqa Ransomware nie ingeruje w pliki systemowe, aby umożliwić działanie systemu Windows, więc użytkownicy będą mogli zapłacić okup. Jeśli serwer złośliwego oprogramowania jest niedostępny (komputer nie jest podłączony do Internetu, serwer zdalnych hakerów nie działa), narzędzie szyfrujące wykorzystuje zakodowany w nim klucz i identyfikator i przeprowadza szyfrowanie offline. W takim przypadku możliwe będzie odszyfrowanie plików bez płacenia okupu. Tworzy Ioqa Ransomware _readme.txt plik, który zawiera wiadomość z żądaniem okupu i dane kontaktowe, na pulpicie oraz w folderach z zaszyfrowanymi plikami. Z programistami można się kontaktować za pośrednictwem poczty elektronicznej: support@freshmail.top i datarestorehelp@airmail.cc.