Ransomware

OBZ to wirus typu ransomware, który szyfruje dostęp do danych i szantażuje ofiary, aby zapłaciły pieniądze za odszyfrowanie. W czasie szyfrowania wirus zmienia docelowe pliki z rozszerzeniem .OBZ rozbudowa. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się w 1.pdf.OBZ or 1.pdf.obz w zależności od tego, która wersja ransomware przeniknęła do systemu. Ponadto ofiary zgłaszały również, że widziały złośliwy proces o nazwie Traffic Light w Menedżerze zadań Windows. Gdy proces szyfrowania dobiegnie końca, OBZ Ransomware tworzy dokument tekstowy (ReadMe.txt), który zawiera instrukcje odszyfrowywania. Warto zauważyć, że treść tego żądania okupu jest identyczna z innymi wcześniej odkrytymi U2K i MME ransomware, co może wskazywać, że OBZ został opracowany przez tę samą grupę programistów.

CryWiper jest niszczycielskim wirusem, który uszkadza konfigurację danych, aby uczynić je niedostępnymi, a następnie żąda pieniędzy od ofiar za fałszywe odszyfrowanie. Twórcy CryWiper ukrywają swoje oprogramowanie jako ransomware, które szyfruje dane, jednak w rzeczywistości jest to narzędzie do czyszczenia danych, które po prostu uszkadza pliki. Podczas uruchamiania „szyfrowania” wirus usuwa wszystkie kopie w tle z dysku głównego i dołącza nowe .CRY rozszerzenie, aby podświetlić pliki. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się w 1.pdf.CRY i ulec trwałemu uszkodzeniu. Następnie CryWiper tworzy plik o nazwie README.txt z wprowadzającymi w błąd instrukcjami odszyfrowywania. Wiadomo, że CryWiper unika uszkadzania plików .exe, .dll, .lnk, .msi i .sys oraz innych przechowywanych w katalogach Boot, System i Windows. Ponadto zaobserwowano również, że wirus ten jest rozpowszechniany za pośrednictwem browserupdate.exe złośliwy plik, zaprogramowany w języku C++ i atakujący organizacje zlokalizowane w Rosji.

Beijing to infekcja sklasyfikowana jako ransomware, która szyfruje dostęp do danych i żąda od ofiar zapłaty pieniędzy za ich odszyfrowanie. Ten program do szyfrowania plików jest również prawdopodobnie udostępniany przez tych samych cyberprzestępców, którzy wcześniej opracowali inne oprogramowanie ransomware o nazwie LeakTheMall. Podczas szyfrowania ofiary zobaczą, jak ich pliki zmieniają się wizualnie - to coś nowego .beijing które ostatecznie zostaną do nich dodane. Na przykład oryginalnie nazwany 1.pdf zmieni się na 1.pdf.beijing i stają się niedostępne. Następnie wirus tworzy instrukcje tekstowe w !RECOVER.txt wyjaśnia, co należy zrobić, aby odzyskać dane.

Trigona to nazwa wirusa ransomware, który szyfruje dane użytkowników korporacyjnych (np. firm) i żąda pieniędzy za odszyfrowanie plików. Podczas szyfrowania dołącza nowy ._locked rozszerzenie (np. 1.pdf._locked) i tworzy plik o nazwie how_to_decrypt.hta po pomyślnym zakończeniu. Ten plik zawiera instrukcje z krokami, które ofiary powinny zrobić, aby odszyfrować swoje dane. Mówi się, że wszystkie krytyczne informacje, takie jak dokumenty, bazy danych, lokalne kopie zapasowe itp., zostały zaszyfrowane i wyciekły. Cyberprzestępcy wspominają również, że odszyfrowanie plików jest niemożliwe bez ich bezpośredniego zaangażowania. Wspomniano również, że dane osób, które odmówią współpracy z cyberprzestępcami, zostaną sprzedane osobom potencjalnie zainteresowanym ich wykorzystaniem. Aby temu wszystkiemu zapobiec, cyberprzestępcy nakłaniają ofiary do otwarcia strony odszyfrowywania za pośrednictwem przeglądarki TOR i skontaktowania się z twórcami ransomware.

Bazek to infekcja wirusowa, która ma wszystkie cechy charakterystyczne dla oprogramowania ransomware. Mówiąc prościej, szyfruje dostęp do danych (przy użyciu algorytmów AES-256) i prosi ofiary o skontaktowanie się z cyberprzestępcami w celu uzyskania specjalnego klucza deszyfrującego. Podczas szyfrowania wirus przypisuje również nowy .bazek rozszerzenie do każdego docelowego pliku. Aby to zilustrować, plik o nazwie 1.pdf zmieni się na 1.pdf.bazek i utracić również swoją oryginalną ikonę. W zależności od tego, jaka wersja Bazek Ransomware zaatakowała komputer, utworzy notatkę tekstową o nazwie README.txt lub wyświetlić okno pop-up z podobnymi instrukcjami odszyfrowywania.

Znany również jako Sullivan, RansomBoggs to infekcja ransomware zaprojektowana do szyfrowania danych i żądania zapłaty za ich odszyfrowanie. Ostatnie badania wykazały, że wirus ten był wielokrotnie atakowany na różne organizacje zlokalizowane na Ukrainie. Podczas szyfrowania RansomBoggs zmienia nazwy wszystkich docelowych plików na rozszerzenie .chsch rozszerzenie. Na przykład plik pierwotnie zatytułowany jako 1.pdf zmieni się na 1.pdf.chsch i stają się niedostępne. Następnie ransomware tworzy również własną notatkę (SullivanDecryptsYourFiles.txt) z instrukcjami odszyfrowywania.

SEX3 to wirus komputerowy sklasyfikowany jako ransomware. Odkryto również, że jest to nowa wersja innego narzędzia do szyfrowania plików o nazwie SATANA Oprogramowanie wymuszające okup. Oprogramowanie tego typu jest tworzone w celu szyfrowania potencjalnie cennych danych i żądania od właścicieli plików zapłaty za ich odszyfrowanie. Podczas szyfrowania SEX3 Ransomware jest zaprogramowany do zmiany docelowych plików za pomocą .SEX3 rozbudowa. Jest to po prostu wizualna zmiana mająca na celu wyróżnienie zablokowanych danych oprócz udanego szyfrowania. Następnie wirus zmienia tapety pulpitu, a także tworzy notatkę tekstową o nazwie !satana!.txt zawierający krótką instrukcję, jak odblokować dostęp do plików.

Onelock to infekcja ransomware opracowana przez rodzinę ransomware Medusa. Jego celem jest szyfrowanie dostępu do potencjalnie ważnych danych (przy użyciu algorytmów szyfrowania RSA i AES) oraz wyłudzanie pieniędzy od ofiar w celu pełnego odszyfrowania. Podczas gdy pliki stają się niedostępne, wirus dodaje nowy .onelock rozszerzenie, które uczyniłoby plik podobny do 1.pdf zmień na 1.pdf.onelock i zresetuj jego oryginalną ikonę. Ten sam wzorzec dotyczy innych plików, które stają się celem infekcji. Po pomyślnym zakończeniu Onelock tworzy how_to_back_files.html plik zawiera instrukcje odszyfrowywania. Ogólnie rzecz biorąc, mówi się, że twórcy oprogramowania ransomware są jedynymi postaciami, które są w stanie odszyfrować dane ofiar. W tym celu ofiary są proszone o skontaktowanie się z cyberprzestępcami za pomocą łącza do czatu w przeglądarce Tor (lub e-mail) i zapłacenie określonej kwoty okupu.