Ransomware

SEX3 to wirus komputerowy sklasyfikowany jako ransomware. Odkryto również, że jest to nowa wersja innego narzędzia do szyfrowania plików o nazwie SATANA Oprogramowanie wymuszające okup. Oprogramowanie tego typu jest tworzone w celu szyfrowania potencjalnie cennych danych i żądania od właścicieli plików zapłaty za ich odszyfrowanie. Podczas szyfrowania SEX3 Ransomware jest zaprogramowany do zmiany docelowych plików za pomocą .SEX3 rozbudowa. Jest to po prostu wizualna zmiana mająca na celu wyróżnienie zablokowanych danych oprócz udanego szyfrowania. Następnie wirus zmienia tapety pulpitu, a także tworzy notatkę tekstową o nazwie !satana!.txt zawierający krótką instrukcję, jak odblokować dostęp do plików.

Onelock to infekcja ransomware opracowana przez rodzinę ransomware Medusa. Jego celem jest szyfrowanie dostępu do potencjalnie ważnych danych (przy użyciu algorytmów szyfrowania RSA i AES) oraz wyłudzanie pieniędzy od ofiar w celu pełnego odszyfrowania. Podczas gdy pliki stają się niedostępne, wirus dodaje nowy .onelock rozszerzenie, które uczyniłoby plik podobny do 1.pdf zmień na 1.pdf.onelock i zresetuj jego oryginalną ikonę. Ten sam wzorzec dotyczy innych plików, które stają się celem infekcji. Po pomyślnym zakończeniu Onelock tworzy how_to_back_files.html plik zawiera instrukcje odszyfrowywania. Ogólnie rzecz biorąc, mówi się, że twórcy oprogramowania ransomware są jedynymi postaciami, które są w stanie odszyfrować dane ofiar. W tym celu ofiary są proszone o skontaktowanie się z cyberprzestępcami za pomocą łącza do czatu w przeglądarce Tor (lub e-mail) i zapłacenie określonej kwoty okupu.

Alpha865qqz to nowy program do szyfrowania plików należący do rodziny ransomware Maoloa. Podczas dochodzenia w sprawie tego złośliwego oprogramowania zauważono, że Alpha865qqz naśladuje niektóre cechy innej infekcji o nazwie GlobeImposter. Na przykład podczas szyfrowania dołącza plik .Globeimposter-Alpha865qqz rozszerzenie docelowych plików. Ilustrować, 1.pdf zmieni się na 1.pdf.Globeimposter-Alpha865qqz, 1.png do 1.png.Globeimposter-Alpha865qqz, i tak dalej. Po zakończeniu procesu szyfrowania Alpha865qqz tworzy plik wykonywalny o nazwie HOW TO BACK YOUR FILES.exe który zawiera instrukcje odszyfrowywania. Niektóre inne wersje Alpha865qqz utworzyły HOW TO BACK YOUR FILES.txt zamiast tego plik tekstowy, a także zmienił oryginalne ikony plików.

Faust to nowy wariant ransomware opracowany przez grupę malware Phobos. Jego celem jest zaszyfrowanie potencjalnie ważnych fragmentów danych i zmuszenie ofiar do zapłacenia pieniędzy za ich odszyfrowanie. Wraz z szyfrowaniem wirus zmienia również sposób wyświetlania plików — na przykład plik o oryginalnej nazwie 1.pdf zmieni się w coś takiego 1.pdf.id[9ECFA84E-3421].[gardex_recofast@zohomail.eu].faust i zresetuj jego oryginalną ikonę po zaszyfrowaniu. Ten nowy ciąg znaków dołączany przez oprogramowanie ransomware składa się z unikalnego identyfikatora ofiary, adresu e-mail cyberprzestępców oraz Faust rozbudowa. Po pomyślnym zakończeniu szyfrowania Faust Ransomware generuje okno pop-up (info.hta) i plik tekstowy (info.txt), które zawierają wskazówki dotyczące odszyfrowywania.

AXLocker to wirus ransomware, który szyfruje dane osobowe (dokumenty, zdjęcia, bazy danych itp.) i żąda od ofiar zapłaty pieniędzy za jego odszyfrowanie. W przeciwieństwie do innych infekcji ransomware, które zwykle zmieniają nazwy zaszyfrowanych danych (poprzez dodanie nowych rozszerzeń), AXLocker pozostawia pliki, aby wyglądały tak, jak powinny. Mimo to ofiary nie będą mogły uzyskać dostępu do swoich danych, a wirus wyświetli okno pop-up z żądaniami związanymi z odszyfrowaniem i wyznaczonym czasem na ich spełnienie.

Dharma to ciesząca się złą sławą grupa złośliwego oprogramowania, która rozsyła wiele zaawansowanych infekcji ransomware. Zxcvb jest jedną z najnowszych wersji udostępnionych przez cyberprzestępców. Podobnie jak jego poprzednicy, wirus szyfruje dostęp do plików przechowywanych w systemie i zmienia ich wygląd (poprzez dodanie identyfikatora ofiary, adresu e-mail paymoney@onionmail.org oraz .zxcvb rozbudowa). Na przykład plik o oryginalnej nazwie 1.pdf zmieni się w coś takiego 1.pdf.id-9ECFA84E.[paymoney@onionmail.org].zxcvb i tak dalej z innymi danymi, których to dotyczy. Gdy Zxcvb pozbawi dostępu do plików, tworzy notatkę z żądaniem okupu o nazwie FILES ENCRYPTED.txt a także wyświetla wyskakujące okienko.

D0ggeroficjalny to wirus ransomware, który uruchamia szyfrowanie danych przy użyciu algorytmów AES-256. Robiąc to, zmienia również nazwy wszystkich docelowych plików (dokumentów, filmów, obrazów itp.) na rozszerzenie .locked rozbudowa. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.locked i zresetuj jego oryginalną ikonę. Następnie D0ggerofficial wyświetla okno pop-up z instrukcjami odszyfrowywania. Cyberprzestępcy twierdzą, że ofiary muszą dokonać płatności w wysokości 0.25 BTC (około 4,200), aby odzyskać specjalny klucz deszyfrujący ze zdalnego serwera cyberprzestępców. Ofiary mogą również uzyskać bardziej szczegółowe informacje, kontaktując się z atakującymi za pośrednictwem ich kanału Telegram (@d0ggerofficial).

Eyedocx to infekcja ransomware, która szyfruje dostęp do danych przechowywanych w systemie i przedstawia instrukcje, aby ofiary zapłaciły za odszyfrowanie. Po uruchomieniu procesu szyfrowania wszystkie pliki zmienią się zgodnie z tym przykładem - pierwotnie nazwane 1.pdf zmieni się na 1.pdf.encrypted i zresetuj jego ikonę. Przypisywanie losowych rozszerzeń jest częstym efektem wielu infekcji ransomware, zaprojektowanych w celu wyróżnienia zablokowanych danych. The .encrypted rozszerzenie jest dość ogólne i dlatego może być również używane przez inne warianty oprogramowania ransomware. Kiedy Eyedocx zakończy szyfrowanie, tworzy notatkę tekstową (przeczytaj mnie.informacje) z instrukcjami żądającymi okupu.