Ransomware

Jeśli zostałeś zaatakowany przez wirusa, twoje pliki są zaszyfrowane, niedostępne i przejęte .hhmm rozszerzeniami, co oznacza, że ​​komputer jest zainfekowany Hhmm Ransomware (czasem nazywany STOP Ransomware or Djvu Ransomware, nazwany po .djvu rozszerzenie, które zostało pierwotnie dodane do zaszyfrowanych plików). Ten wirus szyfrujący był bardzo aktywny od 2017 r. (.hhmm pojawił się w połowie lutego 2023 r.) i wyrządził ogromne szkody finansowe tysiącom użytkowników. Niestety, bardzo trudno jest namierzyć złoczyńców, ponieważ korzystają oni z anonimowych serwerów TOR i kryptowaluty. Jednak z instrukcjami podanymi w tym artykule będziesz mógł usunąć Hhmm Ransomware i zwrócić swoje pliki. Hhmm Ransomware tworzy _readme.txt plik, który nazywa się "żądanie okupu" i zawiera instrukcje dotyczące płatności oraz dane kontaktowe. Wirus umieszcza go na pulpicie oraz w folderach z zaszyfrowanymi plikami. Z programistami można się kontaktować przez e-maile: support@freshmail.top i datarestorehelp@airmail.cc.

Vvoo Ransomware to nazwa warunkowa, nadana przez ekspertów ds. bezpieczeństwa, dla najnowszej wersji programu STOP/Djvu Ransomware, to dołącza .vvoo rozszerzenia do plików. STOP Ransomware to szeroko rozpowszechniona, długowieczna infekcja ransomware, która jest aktywna od 2017 roku. Ponieważ wykorzystuje szyfrowanie RSA-1024 i klucz online (w większości przypadków), bezpośrednie odszyfrowanie za pomocą wydanych deszyfratorów nie jest obecnie skuteczne. Jednak niektóre metody odzyskiwania plików opisane w tym artykule mogą pomóc w przywróceniu niektórych plików lub nawet wszystkich danych. Jeśli twoje pliki zostały zaszyfrowane kluczem offline (2-3% wszystkich przypadków), 100% odszyfrowanie staje się możliwe dzięki STOP Djvu Decryptor od EmsiSoft, przedstawiony na stronie poniżej. Ogólnie rzecz biorąc, Vvoo Ransomware tworzy żądanie okupu _readme.txt, który zawiera warunki odszyfrowania, kwotę okupu i dane kontaktowe.

PYAS jest klasyfikowany jako ransomware. To złośliwe oprogramowanie jest przeznaczone do szyfrowania danych przechowywanych w systemie i przetrzymywania ich jako zakładników, aby użytkownicy płacili okup. Nazwa tego programu do szyfrowania plików pochodzi od .PYAS rozszerzenie, które jest przypisywane do każdego pliku, którego dotyczy problem podczas szyfrowania. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.PYAS, i tak dalej z innymi danymi. Po pomyślnym zaszyfrowaniu wirus upuszcza plik README.txt notatka tekstowa zawierająca instrukcje odszyfrowywania. Notatka zawiera krótki tekst informujący, że wszystkie rodzaje istotnych danych zostały zaszyfrowane i że ofiary muszą skontaktować się z szantażystami za pośrednictwem platformy Discord (nazwa użytkownika „mtkiao129#2443”), aby uzyskać odszyfrowanie plików. Z reguły cyberprzestępcy stojący za infekcjami ransomware starają się wyłudzić pieniądze od ofiar – dlatego jest mniej prawdopodobne, że PYAS jest wyjątkiem. Zdecydowanie nie zaleca się płacenia okupu lub udostępniania poufnych informacji atakującym.

Vvmm Ransomware to wirus, który szyfruje dane i żąda od ofiar zapłaty okupu za ich zwrot. Pochodzi z STOP/Djvu rodziny, która każdego miesiąca opracowuje i wydaje wiele wersji oprogramowania ransomware. W rzeczywistości wszystkie programy szyfrujące pliki STOP/Djvu mają prawie identyczne cechy – zmieniają pliki z rozszerzeniami zaczerpniętymi z ich nazw i tworzą praktycznie tę samą notatkę zawierającą instrukcje odszyfrowywania (_readme.txt). Ten wariant ransomware nazywa się Vvmm, co oznacza, że ​​zmienia zaszyfrowane pliki z rozszerzeniem .vvmm rozbudowa. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.vvmm, 1.png do 1.png.vvmm, i tak dalej z innymi danymi, których to dotyczy. Po zakończeniu tego procesu, gdy wszystkie docelowe pliki przestaną być dostępne, ofiary zobaczą instrukcje odszyfrowywania prezentowane w pliku _readme.txt uwaga.

Mimic to nazwa infekcji ransomware, która szyfruje dostęp do danych, dodaje .QUIETPLACE rozszerzenie i ostatecznie żąda od ofiar zapłacenia okupu za odszyfrowanie. Wirus ten jest jednym z wariantów innych programów szyfrujących pliki, które rzekomo zostały opracowane przez tych samych cyberprzestępców. Wiadomo, że inne wersje przypisują rozszerzenia, takie jak .HONESTBITCOIN, .Fora, .PORTHUB, .KASPERSKY lub rozszerzenia składające się z 5-10 losowych znaków. Podczas szyfrowania złośliwe oprogramowanie będzie atakować wszystkie potencjalnie ważne typy plików i sprawi, że nie będą już dostępne, uruchamiając silne szyfrowanie algorytmiczne. Jak wspomniano, Mimic Ransomware dodaje również własne .QUIETPLACE rozszerzenie, co oznacza plik podobny do 1.pdf prawdopodobnie zmieni się na 1.pdf.QUIETPLACE, i tak dalej. Następnie Mimic wyświetlił dwa identyczne żądania okupu - jeden przed ekranem logowania, a drugi w pliku tekstowym o nazwie Decrypt_me.txt.

NEVADA to wirus ransomware, który szyfruje dane w systemach operacyjnych Windows i Linux i nakłania ofiary do zapłacenia pieniędzy za odszyfrowanie i nieujawnianie zebranych informacji. W momencie szyfrowania dostępu do danych wirus przydziela również swoje .NEVADA rozszerzenie do plików, których dotyczy problem. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.NEVADA zresetuj jego ikonę i nie nadaje się już do użytku. Następnie złośliwe oprogramowanie tworzy readme.txt - notatka tekstowa z wytycznymi dotyczącymi odszyfrowywania. Cyberprzestępcy stojący za NEVADA Ransomware mogą się różnić, ponieważ ten program do szyfrowania plików jest otwarty do zakupu przez innych złoczyńców (Ransomware jako model usługowy).

Erop to nowy wariant ransomware wywodzący się z rodziny STOP/Djvu. Takie złośliwe oprogramowanie jest przeznaczone do szyfrowania danych użytkowników i żądania od ofiar zapłaty pieniędzy za ich odszyfrowanie. Oprócz tego, że stają się niedostępne po zaszyfrowaniu, docelowe pliki ulegają również zmianom wizualnym — poprzez otrzymanie nowego .erop rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.erop i stają się niedostępne. Gdy udane szyfrowanie dobiegnie końca, Erop generuje notatkę tekstową o nazwie _readme.txt który zawiera wskazówki dotyczące deszyfrowania. Ta nazwa żądania okupu jest dość ogólna i była używana również przez inne warianty STOP/Djvu, tylko z niewielkimi różnicami w informacjach kontaktowych cyberprzestępców. W tej notatce ofiary są informowane o konieczności zakupu specjalistycznego oprogramowania deszyfrującego za 980 USD (lub 490 USD, jeśli zapłacono w ciągu 72 godzin po infekcji). Nawiązując komunikację e-mail z oszustami, ofiary mogą również dołączyć 1 zaszyfrowany plik, który nie zawiera żadnych wartościowych informacji, a cyberprzestępcy odszyfrują go za darmo.

Nigra to nazwa niedawno zgłoszonego programu szyfrującego pliki, który jest uważany za wariant Sojusz Ransomware. Cyberprzestępcy stojący za udanym atakiem szyfrują dostęp do danych, a następnie próbują wyłudzić od ofiar pieniądze za odszyfrowanie. Pliki zaszyfrowane przez tę infekcję prawdopodobnie zostaną zmienione zgodnie z tym wzorcem [victim's ID>].[cybercriminals' e-mail address] lub [identyfikator ofiary>].[nazwa pliku] i .nigra rozszerzenie na koniec. Oznacza to, że plik, którego dotyczy problem, może wyglądać tak .[9347652d51].[nigra@skiff.com].nigra albo mądry. Należy pamiętać, że proces dodawania nowych rozszerzeń do oryginalnych nazw plików jest jedynie wizualną formalnością iw żaden sposób nie zmienia faktu szyfrowania plików. Po całkowitym zaszyfrowaniu wirus pozostawia plik tekstowy ze wskazówkami dotyczącymi odszyfrowywania na pulpicie ofiary. Nazwa notatki tekstowej Nigra Ransomware nie została jeszcze publicznie ujawniona, jednak prawdopodobnie jest taka sama lub podobna do tych przykładów -----README_WARNING-----.txt, #_README-WARNING_#.TXT, README_WARNING_.txt,!!!HOW_TO_DECRYPT!!!.txt, #HOW_TO_DECRYPT#.txt, #HOW_TO_DECRYPT#.txt.