Ransomware

Jeśli twoje pliki stały się niedostępne i teraz pojawiają się z nowym .MIAUCZEĆ rozszerzenie (wtedy .PUTIN, .KREML i .ROSJA extensions), najprawdopodobniej jesteś zainfekowany Oprogramowanie ransomware Meow (znany jako Oprogramowanie ransomware MeowCorp2022 i Oprogramowanie ransomware ContiStolen). Ten program do szyfrowania plików blokuje dostęp do praktycznie wszystkich typów danych przechowywanych w systemie za pomocą algorytmu ChaCha20 i żąda od ofiar nawiązania kontaktu z jego twórcami (prawdopodobnie w celu zapłacenia za odszyfrowanie). Ponadto ustalono również, że to ransomware działa na kodzie skradzionym z innego popularnego programu do szyfrowania plików o nazwie Oprogramowanie ransomware Conti-2. Informacje o kontaktowaniu się z oszustami znajdują się w treści wiadomości tekstowej o nazwie readme.txt, który wirus wrzuca do każdego folderu z zaszyfrowanymi plikami.

Loplup to wirus szyfrujący pliki, który został określony jako część ZEPELIN rodzina ransomware. Ograniczając dostęp do danych przechowywanych w systemie, zmienia nazwy atakowanych plików, dodając plik custom .loplup.[victim's_ID] rozbudowa. Oznacza to, że plik został wcześniej wywołany 1.pdf zmieni się w coś takiego 1.pdf.loplup.312-A1A-FD7. Pamiętaj, że identyfikator ofiary jest zmienny, więc w twoim przypadku może być inny. Po pomyślnym zaszyfrowaniu danych Loplup tworzy plik tekstowy (!!! WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE !!!.TXT), który zawiera wskazówki dotyczące odszyfrowywania.

Pierwsze zabicie to infekcja ransomware zaprojektowana do szyfrowania danych użytkowników i szantażowania ofiar w celu zapłacenia okupu finansowego za ich odzyskanie. Wykorzystuje wojskowe algorytmy AES i RSA do uruchamiania silnego szyfrowania i zapobiegania ponownemu dostępowi ofiar do ich plików. Podczas tego procesu FirstKill zmienia również nazwy wszystkich docelowych plików na rozszerzenie .Pierwszy Zabójca rozszerzenie i resetuje ich oryginalne ikony do stanu pustego. Na przykład wcześniej nietknięty plik, taki jak 1.pdf zmieni się na 1.pdf.FirstKill i stają się niedostępne. Następnie wirus tworzy notatkę tekstową o nazwie CO_SIĘ_STAŁO.html który zawiera instrukcje dotyczące odszyfrowywania danych.

ChinyPomocnik to wirus ransomware przeznaczony do szyfrowania danych osobowych i szantażowania ofiar w celu zapłacenia okupu. Ograniczając dostęp do danych za pomocą algorytmów AES-256 i RSA-2048, wirus przypisuje .cnh rozszerzenie, aby plik podobny do 1.pdf zamienia się w 1.pdf.cnh, na przykład. Następną rzeczą, którą robi ChinaHelper, jest utworzenie notatki tekstowej o nazwie README.txt. Istnieje również inny wariant zauważony w późniejszej dystrybucji, który został przypisany .cnhelp or .charm rozszerzenie do plików i utworzyłem plik HOW_TO_RETURN_FILES.txt zamiast tego plik.

Bom to nazwa infekcji ransomware. Złośliwe oprogramowanie należące do tej kategorii szyfruje dane przechowywane w systemie i żąda od ofiar zapłaty pieniędzy za ich zwrot. Ten wariant ransomware jest również produktem ubocznym Rodzina VoidCrypt. Podczas szyfrowania wirus zmienia nazwy wszystkich docelowych plików zgodnie z tym przykładem - 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. Zmienione nazwy plików mogą się nieznacznie różnić (np. inny ciąg znaków), ale podstawa pozostanie taka sama. Po pomyślnym ograniczeniu dostępu do danych ransomware tworzy notatkę tekstową o nazwie Scratch - aby zapewnić wytyczne dotyczące odszyfrowywania.

Oprogramowanie ransomware DASHA to nowy wariant Eternity Ransomware. To złośliwe oprogramowanie jest przeznaczone do szyfrowania danych przechowywanych w systemie i żądania pieniędzy za ich odszyfrowanie. Ograniczając dostęp do plików (np. zdjęć, filmów, dokumentów, baz danych itp.), wirus zmienia wygląd pliku za pomocą .ecrp rozbudowa. Na przykład plik o wcześniejszej nazwie 1.pdf zmieni się zatem na 1.pdf.ecrp i stają się niedostępne. Gdy proces ten dobiegnie końca, a nazwy wszystkich docelowych plików zostaną ostatecznie zmienione, DASHA zastępuje tapety pulpitu i wyświetla okno pop-up z instrukcjami żądania okupu.

Szafka Lokiego to nazwa wirusa ransomware zaprojektowanego do wyłudzania pieniędzy od ofiar poprzez silne szyfrowanie danych. Wykorzystuje kombinację algorytmów AES-256 i RSA-2048, a także zmienia nazwy zaszyfrowanych danych zgodnie z tym szablonem - [][]original_file.Loki. Na przykład plik o wcześniejszej nazwie 1.pdf zmieni się na [DecNow@TutaMail.Com][C279F237]1.pdf.Loki i stają się niedostępne. Warto zauważyć, że istnieją również nowsze wersje Loki Locker, które zmieniają nazwy danych .Rainman, .Adair, .Boresh, .PayForKeylub .Spyro rozszerzenia. Po udanej blokadzie plików wirus tworzy dwa pliki (Restore-My-Files.txt i info.hta) z podobnymi instrukcjami żądającymi okupu. Ponadto Loki Locker zastępuje również tapety pulpitu, aby wyświetlić krótkie instrukcje, co należy zrobić.

Będąc nowym wariantem Oprogramowanie ransomware PGPCoder, LOL! jest również przeznaczony do szyfrowania danych przechowywanych w systemie za pomocą algorytmów asymetrycznych RSA i AES. Takie algorytmy są często silne, co sprawia, że ​​ręczne odszyfrowanie jest prawie niemożliwe, jednak zostanie to jeszcze szczegółowo omówione poniżej. Podczas szyfrowania wirus dołącza również swoje .KUPA ŚMIECHU! rozszerzenie każdego pliku, którego to dotyczy. Na przykład, gdyby tak było 1.pdf zaatakowany przez program szyfrujący, zmieni się na 1.pdf.LOL! i nie nadają się już do użytku. Gdy tylko wszystkie docelowe pliki zostaną zablokowane, wirus upuszcza plik pobierz data.txt plik do każdego folderu zawierającego zaszyfrowane dane (w tym na pulpicie). Ten plik ma na celu wyjaśnienie, co się stało, i co najważniejsze, poinstruowanie ofiar przez proces odzyskiwania.