Ransomware

SkullLocker to nowy wariant ransomware. Badania wskazują, że został on opracowany w oparciu o Chaos Ransomware – kolejną niszczycielską i dobrze znaną infekcję. Po udanej infiltracji SkullLocker szyfruje dostęp do plików, dodaje własne .skull rozszerzenie i tworzy żądanie okupu (read_it.txt) z instrukcją deszyfrowania napisaną w języku polskim. Oto pełny tekst zaprezentowany w notatce wraz z tłumaczeniem na język angielski. Ogólnie rzecz biorąc, cyberprzestępcy żądają od użytkowników dokonania płatności w ciągu 72 godzin, w przeciwnym razie dane zostaną trwale utracone. Użytkownicy proszeni są o zapoznanie się ze szczegółami płatności i odzyskiwania poprzez załączony link TOR. Ponadto uwaga odradza próby ręcznego odzyskania plików, ponieważ może to spowodować trwałe uszkodzenie plików.

Coaq Ransomware jest podtypem STOP Ransomware (lub DJVU Ransomware) i ma wszystkie cechy tej rodziny wirusów. Złośliwe oprogramowanie blokuje dostęp do danych na komputerach ofiar, szyfrując je algorytmem szyfrowania AES. STOP Ransomware jest jednym z najdłużej żyjących programów ransomware. Pierwsze infekcje zostały zarejestrowane w grudniu 2017 r. Coaq Ransomware z takim sufiksem to kolejna jego generacja, do której dołącza .coaq rozszerzenia do zaszyfrowanych plików. Po zaszyfrowaniu złośliwe oprogramowanie tworzy plik z żądaniem okupu: _readme.txt na pulpicie oraz w folderach z zaszyfrowanymi plikami. W tym pliku hakerzy podają informacje o odszyfrowaniu oraz dane kontaktowe, takie jak e-maile: support@freshmail.top i datarestorehelp@airmail.cc.

Nowe wystąpienia STOP Ransomware (DjVu Ransomware ) nadal niszczą pliki użytkowników na całym świecie. STOP/Djvu Ransomware to specyficzny typ ransomware, który jest aktywny od 2017 roku. Jest to rodzaj złośliwego oprogramowania szyfrującego pliki, które szyfruje pliki ofiar i żąda zapłaty w zamian za klucz odszyfrowywania. Ten krypto-wirus wykorzystuje złożony algorytm szyfrowania AES, aby blokować użytkownikom dostęp do ich danych i wyłudzać okup w wysokości 490 USD lub 980 USD. Jedną z nowych odmian rozszerzenia, która pojawiła się w październiku 2022 roku, jest: .cosw. Odpowiednie oprogramowanie ransomware otrzymało nazwę Cosw Ransomware. Wirus dodaje takie przyrostki na końcu zaszyfrowanych plików. Jeśli twoje pliki mają takie zakończenie i są niedostępne, oznacza to, że twój komputer jest zainfekowany STOP Ransomware. Twórcy szkodliwego oprogramowania nieznacznie modyfikują wirusa pod względem technicznym.

Goba Ransomware, który jest właściwie następną generacją STOP Ransomware pojawił się na początku marca 2023. Wirus ten szyfruje najważniejsze pliki użytkowników, takie jak dokumenty, zdjęcia, bazy danych, muzykę za pomocą szyfrowania AES i dodaje .goba rozszerzenia do plików, których dotyczy problem. To ransomware jest prawie identyczne z wieloma wcześniejszymi wersjami tego złośliwego oprogramowania, które opisaliśmy wcześniej, należy do tych samych autorów i używa tych samych adresów e-mail (support@freshmail.top i datarestorehelp@airmail.cc) i te same portfele Bitcoin. Pełne odszyfrowanie jest prawie niemożliwe, jednak częściowe dane można odzyskać, korzystając z instrukcji zawartych w tym artykule. Po zakończeniu wirus tworzy _readme.txt plik z żądaniem okupu na pulpicie oraz w folderach z plikami, których dotyczy problem.

Jeśli twoje pliki zostały nagle zmienione za pomocą .wannasmile rozszerzenie (np. 1.pdf.wannasmile) i teraz widzisz wiadomość z żądaniem okupu w wyskakującym okienku, prawdopodobnie masz do czynienia z WannaSmile Ransomware. Chociaż nie ma na to wystarczającego uzasadnienia, WannaSmile może być nową wersją innego oprogramowania ransomware o identycznej nazwie z 2017 roku (autorstwa irańskich programistów), które przypisało .WSmile rozszerzenie. Ogólnie rzecz biorąc, takie złośliwe oprogramowanie jest zwykle zaprojektowane w celu uniemożliwienia dostępu do danych (poprzez uruchomienie szyfrowania), a następnie wyłudzenia pieniędzy od ofiar w celu ich odszyfrowania.

Opracowany przez Djvu rodzina, Goaq Ransomware to złośliwy program, który przeprowadza rozbudowane szyfrowanie danych osobowych. Wykorzystuje popularne, ale silne algorytmy, aby poważnie zablokować przechowywane pliki. Uniemożliwia to użytkownikom pomyślne ręczne odszyfrowanie. Wiedząc, że użytkownicy nie będą w stanie samodzielnie odzyskać plików, cyberprzestępcy oferują odszyfrowanie danych przy użyciu swoich narzędzi za określoną kwotę pieniędzy. Szczegóły, które są prezentowane w notatce tekstowej o nazwie _readme.txt, który jest tworzony po tym, jak Goaq przypisze nowe rozszerzenia do danych. W szczególności dodaje .goaq rozszerzenie, aby zaszyfrowane pliki wyglądały mniej więcej tak 1.pdf.goaq. Gdy tylko takie zmiany zostaną wprowadzone, użytkownicy nie będą już mogli uzyskać dostępu do swoich danych.

Ten artykuł zawiera informacje na temat Gosw Ransomware wersja STOP Ransomware to dodaje .gosw rozszerzenia do zaszyfrowanych plików i tworzy pliki z żądaniem okupu na pulpicie oraz w folderach z plikami, których dotyczy problem. Niestety, algorytm szyfrowania tego ransomware jest obecnie niezniszczalny, ale istnieją niewielkie szanse na przywrócenie plików, które opisujemy w tym tekście. Gosw Ransomware jest aktywnie dystrybuowany w następujących krajach: USA, Kanada, Hiszpania, Meksyk, Turcja, Egipt, Brazylia, Chile, Ekwador, Wenezuela, Niemcy, Polska, Węgry, Indonezja, Tajlandia. Ta odmiana pojawiła się po raz pierwszy na początku marca 2023 roku i jest prawie identyczna z poprzednimi dziesiątkami odmian. Wirus ransomware nadal używa algorytmu szyfrowania AES i nadal żąda okupu w Bitcoinach za odszyfrowanie.

Alice Ransomware to szkodliwy program przeznaczony do szyfrowania danych osobowych użytkowników i żądania pieniędzy za ich odszyfrowanie. Szyfrując dostęp do plików za pomocą bezpiecznych algorytmów, program do szyfrowania plików przypisuje również rozszerzenie .alice rozszerzenie do zaszyfrowanych danych. Na przykład plik taki jak 1.pdf prawdopodobnie zmieni się na 1.pdf.alice i zresetuj jego oryginalną ikonę. Wiele infekcji ransomware przypisuje swoje niestandardowe rozszerzenie, aby odróżnić zaszyfrowane pliki i sprawić, by użytkownicy zauważyli zmianę. Instrukcje dotyczące zwrotu plików znajdują się w pliku How To Restore Your Files.txt plik tekstowy, który zostanie utworzony po pomyślnym zaszyfrowaniu. Ta notatka tekstowa zawiera wytyczne napisane w języku rosyjskim, co wskazuje, że ten program szyfrujący jest skierowany głównie do użytkowników rosyjskojęzycznych. Warto zauważyć, że Alice była dystrybuowana w dwóch wariantach z nieznacznie różniącym się tekstem żądania okupu.