Ransomware

Bycie częścią Djvu i STOP rodzina wirusów, Zouu Ransomware to wirus szyfrujący pliki, który krąży po sieci od połowy stycznia 2023 roku. W rzeczywistości programiści rozpowszechniają mnóstwo wersji, które różnią się między sobą rozszerzeniami, pocztą e-mail cyberprzestępców i innymi szczegółami. Istnieje ponad 600 rozszerzeń, które STOP Ransomware wykorzystał do ataku na dane użytkownika. W naszym przypadku dołącza STOP Ransomware .zouu rozszerzenie do plików, aby zostały zaszyfrowane. Na przykład coś w stylu 1.mp4 zostanie zmieniony na 1.mp4.zouu i zresetować domyślną ikonę po infekcji. Kolejno program tworzy notatkę o nazwie _readme.txt który zawiera informacje o okupie. Zwykle wygenerowana zawartość wygląda bardzo podobnie we wszystkich typach ransomware.

Zoqw Ransomware, będąc częścią STOP Ransomware jest krytycznym wirusem, zagrażającym plikom osobistym użytkownika. Należy do rodziny złośliwego oprogramowania szyfrującego pliki, które wykorzystuje algorytm AES (Salsa20) i niezniszczalny klucz. Ten wirus jest czasami nazywany Djvu Ransomware, po słowie używanym jako rozszerzenie w pierwszych wersjach (.djvu). Opisywany przez nas wariant zagrożenia modyfikuje pliki .zoqw rozszerzenie pojawiło się w pierwszej połowie stycznia 2023 roku i działa dokładnie tak samo w porównaniu z dziesiątkami poprzednich wersji. Pliki są szyfrowane bezpiecznym kluczem i są dość małe szanse na ich całkowite odszyfrowanie, zwłaszcza jeśli użyto klucza internetowego. Jednak niektóre ręczne metody i automatyczne narzędzia opisane w tym artykule mogą pomóc w pomyślnym odszyfrowaniu niektórych danych. W polu tekstowym poniżej możesz znaleźć "notatkę z żądaniem okupu" - mały plik tekstowy z krótkim wprowadzeniem do wirusa i instrukcjami zapłaty okupu.

Jednym z głównych zagrożeń bezpieczeństwa komputerów jest obecnie oprogramowanie ransomware. Są to niszczycielskie wirusy komputerowe, które szyfrują pliki użytkowników przy użyciu różnych algorytmów kryptograficznych i wyłudzają okup za klucz odszyfrowywania. Jest szczególnie wrażliwy dla użytkowników, ponieważ atakuje zarówno pliki osobiste, takie jak filmy, zdjęcia, muzykę, jak i dane biznesowe, takie jak formaty plików MS Office, e-maile, bazy danych. Takie pliki mogą mieć kluczowe znaczenie dla funkcjonowania firmy lub niezwykle ważne osobiście jako część rodzinnej pamięci. Złoczyńcy mogą żądać od kilkuset do kilku tysięcy dolarów okupu. STOP Ransomware jest oficjalnie najbardziej rozpowszechnionym, a tym samym najniebezpieczniejszym zagrożeniem ransomware. W ciągu 650 lat było ponad 5 wersji tego wirusa. Każda odmiana infekuje tysiące komputerów, a miliony ofiar tego paskudnego złośliwego oprogramowania. W tym artykule wyjaśnimy typowe metody walki z Bpto Ransomware i odszyfrowywania plików, których dotyczy problem. W dzisiejszym skupieniu, wersje STOP (Djvu), które dodają .bpto rozszerzenia. Ostatnie próbki wykorzystują bardzo podobny wzorzec do infiltracji komputerów i szyfrowania plików. Po zaszyfrowaniu ransomware tworzy plik (notatkę z żądaniem okupu) o nazwie _readme.txt.

Theva to nazwa wirusa ransomware, który szyfruje dane przechowywane w systemie i żąda od ofiar zapłaty pieniędzy w Bitcoinach za ich odszyfrowanie. Podczas szyfrowania docelowe pliki zostają wizualnie zmienione — na przykład 1.pdf zmieni się na 1.pdf.[sql772@aol.com].theva i tak dalej z innymi plikami. Po pomyślnym zablokowaniu danych, Theva Ransomware przedstawia swoje instrukcje odszyfrowywania w dokumencie tekstowym o nazwie #_README_#.inf. Zmienia również tapety pulpitu ofiary. W celu odzyskania danych ofiary są nakłaniane do skontaktowania się z cyberprzestępcami za pośrednictwem podanego adresu e-mail (sql772@aol.com) i zapłacenia okupu w kryptowalucie Bitcoin. Mówi się, że cena za odszyfrowanie zależy od tego, jak szybko ofiary nawiążą kontakt z oszustami. Po udanej płatności cyberprzestępcy obiecują wysłać niezbędne narzędzie deszyfrujące, które odblokuje wszystkie zablokowane dane.

Eternity jest wirusem ransomware, który został odkryty przez Cyble badacze. To złośliwe oprogramowanie należy do rodziny malware Eternity i ma na celu wyłudzanie pieniędzy od ofiar poprzez szyfrowanie potencjalnie cennych danych (za pomocą bezpiecznych algorytmów kryptograficznych AES i RSA). Dasha to kolejny popularny wariant ransomware z tej rodziny. Znane są dwie wersje Eternity - jedna nie zmienia plików wizualnie, a druga przypisuje .ecrp rozszerzenie nazw plików i zmienia oryginalne ikony. Na przykład, 1.pdf może pozostać taki sam lub stać się 1.pdf.ecrp po zaszyfrowaniu w zależności od tego, która wersja ransomware zaatakowała system. Po pomyślnym zakończeniu szyfrowania Eternity wyświetla wyskakujące okienko zawierające instrukcje odszyfrowywania. Ponieważ Eternity Ransomware jest publicznym wirusem Malware-as-a-service (MaaS), który może kupić wielu cyberprzestępców, treść instrukcji (dane kontaktowe, wysokość okupu, odliczanie itp.) również może się nieznacznie różnić. Poniżej znajdują się przykłady tekstów żądających okupu z dwóch wariantów oprogramowania ransomware.

Black Hunt jest złośliwą infekcją sklasyfikowaną jako ransomware. Po infiltracji zaczyna szyfrować dane, a następnie szantażuje ofiary, aby zapłaciły za odszyfrowanie (w #BlackHunt_ReadMe.hta i #BlackHunt_ReadMe.txt notatki z żądaniem okupu). Podczas szyfrowania wirus przypisuje również identyfikator ofiary, adres e-mail cyberprzestępcy i .black rozszerzenie do plików, na które wpływ ma wpływ. Aby to zilustrować, plik o oryginalnej nazwie 1.pdf zmieni się w coś takiego 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] a także zdobądź nową ikonę Czarnego Gonu. Tapety pulpitu również ulegają zmianie. W żądaniu okupu cyberprzestępcy podają, że ofiary mają 14 dni na skontaktowanie się z nimi przez e-mail i zakup unikatowego klucza do odszyfrowania. O ile termin nie zostanie dotrzymany, cyberprzestępcy twierdzą, że zaczną sprzedawać lub ujawniać zebrane dane różnym stronom trzecim. Ofiary mogą przejrzeć swoją „sytuację danych” za pośrednictwem podanego łącza TOR.

ScareCrow to infekcja ransomware, która po raz pierwszy pojawiła się na radarach złośliwego oprogramowania w 2019 roku. Od tego czasu ransomware przeszło kilka nieistotnych zmian i ulepszeń. Na przykład, w zależności od tego, które wersje ScareCrow zaatakowały system .scrcrw or .CROW rozszerzenia zostaną przypisane do docelowych plików. Infekcje ransomware mają na celu szyfrowanie potencjalnie cennych danych i blokowanie ich, dopóki ofiary nie spełnią żądań cyberprzestępców dotyczących zapłacenia okupu. ScareCrow wykorzystuje kombinację algorytmów kryptograficznych AES i RSA do dokładnego szyfrowania danych. Po pomyślnym uniemożliwieniu dostępu do plików wirus automatycznie otwiera wyskakujące okienko z instrukcjami odszyfrowywania. Należy pamiętać, że zapłacenie okupu może nie być obowiązkowe - ofiary powinny skontaktować się z renomowanym badaczem ransomware Michael Gillespie i odszyfruj pliki ScareCrow za darmo.

Lucknite (ETH) or LuckniteRansom to wirus ransomware, który został niedawno sprawdzony przez badaczy złośliwego oprogramowania. Celem tego typu złośliwego oprogramowania jest szyfrowanie potencjalnie ważnych danych i przetrzymywanie ich jako zakładników, dopóki ofiary nie zapłacą pieniędzy za okup. Podczas szyfrowania to ransomware przypisuje również .lucknite rozszerzenie do każdego docelowego pliku. Na przykład pierwotnie nazwany 1.pdf zmieni się na 1.pdf.lucknite i utracić ikonę skrótu po zaszyfrowaniu. Następnie cyberprzestępcy udostępniają instrukcje odszyfrowywania w pliku README.txt uwaga. Czasami treść okupu może się nieznacznie różnić w zależności od wersji ransomware, która wpłynęła na system.