Ransomware

Lód Ogień to nazwa infekcji komputerowej sklasyfikowanej jako ransomware. Stojący za tym cyberprzestępcy celują w szyfrowanie danych użytkowników biznesowych, a następnie wyłudzają pieniądze (w kryptowalucie Monero) za odszyfrowanie plików. Analizując raporty techniczne dotyczące wirusa, zauważyliśmy, że wykorzystuje on kombinację algorytmów kryptograficznych AES + RSA do szyfrowania ważnych fragmentów danych. Podobnie jak inne tego typu infekcje, IceFire Ransomware używa własnego rozszerzenia - .iFire aby podświetlić ograniczone dane. Aby to zilustrować, plik zatytułowany wcześniej 1.pdf zmieni się na 1.pdf.iFire i stają się niedostępne. Po pomyślnym zaszyfrowaniu cyberprzestępcy przedstawiają instrukcje, jakie kroki odzyskiwania należy podjąć w ramach iFire-readme.txt uwaga.

Wenus to wirus typu ransomware, który został niedawno odkryty przez badacza złośliwego oprogramowania o nazwie S!Ri. Jego główną funkcją jest szyfrowanie plików, a także wyłudzanie od ofiar pieniędzy za odszyfrowanie. Podczas szyfrowania danych za pomocą algorytmów kryptograficznych wszystkie pliki, których dotyczy problem, zostają zmienione za pomocą rozszerzenia .Wenus rozbudowa. Dla zilustrowania, jeśli 1.pdf zostanie dotknięty infekcją, stanie się 1.pdf.venus również i zresetuj jego oryginalną ikonę. Następnie ofiary zapoznają się z instrukcjami odszyfrowywania wewnątrz pliku README.txt Notatka. Tapety pulpitu również zostaną zastąpione.

Szafka WildFire to złośliwy program sklasyfikowany jako ransomware. Działa na zasadzie ograniczania dostępu do danych (za pomocą algorytmów szyfrowania AES-256 CBC), a następnie żądania pieniędzy od ofiar. Podczas procesu szyfrowania danych wszystkie docelowe pliki uzyskują ten długi i zapisany format #WildFire_Locker#[original file name]##.[original extension].wflx. Cyberprzestępcy robią to, aby wyróżnić szyfrowanie i sprawić, by ofiary je zauważyły. Na przykład plik o wcześniejszej nazwie documents.pdf stanie się więc czymś w rodzaju #WildFire_Locker#documents##.pdf.wflx i zresetuj również jego oryginalną ikonę. Następnie wirus tworzy trzy pliki z rozszerzeniami .txt, .html i .bmp, zawierające istotne informacje o procedurze deszyfrowania. Najbardziej szczegółowe instrukcje znajdują się wewnątrz HOW_TO_UNLOCK_FILES_README_(unikatowy identyfikator ofiary).txt notatka tekstowa.

GRAĆ to wirus typu ransomware, który szyfruje ważne dane i wyłudza pieniądze od ofiar. Uniemożliwiając dostęp do plików, przypisuje rozszerzenie .PLAY rozszerzenie, a także tworzy notatkę tekstową o nazwie ReadMe.txt. Na przykład plik o wcześniejszym tytule 1.pdf zmieni się na 1.pdf.PLAY i zresetuj jego ikonę po zaszyfrowaniu. Od tego momentu ofiary tracą kontrolę nad swoimi danymi i muszą przeczytać instrukcje dotyczące ich odzyskania w utworzonej notatce tekstowej. Często zdarza się, że infekcje ransomware są rozpowszechniane za pomocą technik phishingu. Wirus może być zamaskowany jako legalnie wyglądający plik (np. Word, Excel, PDF, EXE, JavaScript, RAR, ZIP itp.) i zostać wysłany w wiadomości e-mail będącej spamem. List taki może zawierać informacje wyjaśniające „ważność” otwierania załączonych plików lub linków.

Wrona okupu to infekcja ransomware zaprojektowana do szyfrowania cennych danych i szantażowania ofiar w celu zapłacenia pieniędzy za ich odzyskanie. Podczas szyfrowania przypisuje .encrypted rozszerzenie, które jest ogólne dla wielu programów szyfrujących pliki. Aby to zilustrować, plik początkowo nazwany 1.pdf zmieni się na 1.pdf.encrypted a także upuść jego ikonę. Następnie wirus tworzy notatkę tekstową o nazwie readme.txt a także zastępuje tapety pulpitu. Informacje zawarte w wygenerowanej notatce mają na celu poprowadzenie ofiary przez proces odzyskiwania. Mówi się, że aby otrzymać specjalne narzędzia deszyfrujące i zwrócić dane, konieczna jest płatność w wysokości 50 euro w bitcoinach. Ofiary mogą również kontaktować się z oszustami w celu komunikacji osobistej za pośrednictwem podanego adresu e-mail (ransomcrow@proton.me). Z reguły odszyfrowanie bez pomocy cyberprzestępców jest bardzo skomplikowane, a nawet niemożliwe - może być odwrotnie, jeśli występują jakieś błędy lub wady łagodzące ingerencję osób trzecich.

Payt to nazwa infekcji ransomware, która szyfruje dane przechowywane w systemie i szantażuje ofiary, aby zapłaciły pieniądze za ich zwrot. Robi to, dodając nowe nazwy plików (składające się z unikalnego identyfikatora ofiary, adresu e-mail cyberprzestępców i .Zapłać or zapłacić rozbudowa). Na przykład prawdopodobnie tak będzie wyglądać plik obrazu zainfekowany przez Payt Ransomware - 1.png.[MJ-YK7364058912](wesleypeyt@tutanota.com).Payt. Po tym zadzwonił list żądający pieniędzy Przeczytaj to do dekodowania.txt zostanie wygenerowany na pulpicie. Jak stwierdzono w tej wiadomości, ofiary powinny napisać wiadomość e-mail na adresy wesleypeyt@tutanota.com lub wesleypeyt@gmail.com i wyrazić zainteresowanie odszyfrowaniem danych. Możliwe jest również wysłanie pliku testowego i bezpłatne odszyfrowanie - w ten sposób cyberprzestępcy starają się zilustrować, że ich odszyfrowanie faktycznie działa i można na nim polegać.

Świat2022dekodowanie to niedawna infekcja ransomware, która została zauważona podczas szyfrowania danych przechowywanych na urządzeniu i szantażowania ofiar, aby zapłaciły za to pieniądze. Podczas szyfrowania do wszystkich plików, których to dotyczy, dołączany jest osobisty identyfikator ofiary oraz plik dekodowanie .world2022 rozszerzenie również. W rezultacie zyskuje nowy wygląd podobny do tego - z wcześniej niezainfekowanego 1.png do teraz ograniczone 1.png.[9222911A].world2022decoding. To tylko przykład i może się to zdarzyć z każdym fragmentem danych, zwłaszcza z dokumentami i bazami danych. Cyberprzestępcy tworzą również notatkę tekstową o nazwie MOŻEMY ODZYSKAĆ ​​TWOJE DANE.MHT co pociąga za sobą instrukcje dotyczące zwrotu plików.

Arai to szkodliwy program, którego celem są użytkownicy korporacyjni w celu szyfrowania danych biznesowych i żądania od ofiar zapłaty za ich zwrot. Ograniczając dostęp do danych, wirus modyfikuje pliki z rozszerzeniem .araicrypt rozszerzenie, co również prowadzi do pustych ikon. Na przykład plik taki jak 1.pdf zmieniłby się na 1.pdf.araicrypt i utracić pierwotną ikonę. Po tym czasie dane stają się niedostępne i nie nadają się już do użytku. Następnym krokiem, jaki robi Arai, jest utworzenie notatki tekstowej o nazwie READ_TO_RESTORE_YOUR_FILES.txt. Ta notatka wyjaśnia, co się stało i jak ofiary mogą się z tego wyleczyć. Krótko mówiąc, cyberprzestępcy informują, że wszystkie ważne dane (bazy danych, dane klientów itp.) zostały skopiowane, a lokalne kopie zapasowe usunięte. Mówi się również, że w przypadku niezastosowania się do przekazanych instrukcji ofiary stracą szansę na odzyskanie danych, a także narażą się na cierpienia zarówno finansowe, jak i wizerunkowe - w związku z potencjalną publikacją danych, która może nastąpić później. W przeciwnym razie ofiary powinny skontaktować się z oszustami za pomocą jednego z podanych adresów e-mail i zapłacić za odszyfrowanie (podobno drogie iw kryptowalucie). W takim przypadku szantażyści obiecują usunąć zebrane dane i nie publikować ich w związku z tym.