Ransomware

Proton jest infekcją ransomware. Celem tego wirusa jest szyfrowanie potencjalnie krytycznych fragmentów danych, a następnie żądanie pieniędzy za ich całkowite odszyfrowanie. Robiąc to, Proton zmienia również pliki wizualnie – plik, którego to dotyczy, z funkcją pobierania kigatsu@tutanota.com adres e-mail, identyfikator ofiary i .Proton or .kigatsu rozszerzenie do zaszyfrowanych plików. Na przykład plik taki jak 1.pdf zmieni się, aby wyglądać jak 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Po tej zmianie ofiary nie będą już mogły uzyskać dostępu do swoich plików, bez względu na to, jakie modyfikacje zostaną wprowadzone. Po tym wirus upuszcza plik README.txt notatka tekstowa zawierająca instrukcje odszyfrowania. Mówi się, że dane ofiary zostały zaszyfrowane (przy użyciu algorytmów AES i ECC) i skradzione przez cyberprzestępców. Słowo „skradziony” prawdopodobnie sugeruje, że zaszyfrowane dane zostały skopiowane na serwery cyberprzestępców i mogą zostać wykorzystane w dowolnym momencie, chyba że zapłacą okup. Przestępcy zachęcają swoje ofiary do skontaktowania się z nimi za pośrednictwem telegramu lub poczty elektronicznej i zakupu usługi deszyfrowania. Ponadto ofiary mogą również wysłać jeden plik (mniejszy niż 1 MB) i bezpłatnie go odszyfrować. W ten sposób cyberprzestępcy demonstrują swoją wiarygodność i zdolność odzyskania dostępu do zablokowanych danych. Na końcu wiadomości z żądaniem okupu oszuści umieszczają kilka ostrzeżeń dotyczących ryzyka związanego z próbą odszyfrowania plików bez pomocy twórców oprogramowania ransomware.

Reload Ransomware to forma złośliwego oprogramowania, którego celem są osoby i organizacje, szyfrujące ich pliki i żądające okupu za klucze odszyfrowujące. Jest częścią Makop Ransomware rodzina. Żądanie okupu zwykle zaczyna się od deklaracji, że wszystkie pliki zostały zaszyfrowane i teraz mają .reload dołączone do nich rozszerzenie. Ransomware wykorzystuje solidne algorytmy szyfrowania do blokowania plików, czyniąc je niedostępnymi bez odpowiedniego klucza odszyfrowującego. W dostarczonych źródłach nie wspomniano wyraźnie o konkretnym rodzaju szyfrowania używanego przez Reload Ransomware, ale oprogramowanie ransomware zazwyczaj wykorzystuje szyfrowanie AES (Advanced Encryption Standard) lub RSA, które są bardzo bezpieczne i trudne do złamania bez unikalnego klucza deszyfrującego. Notatka z żądaniem okupu utworzona przez Reload Ransomware jest zazwyczaj plikiem tekstowym (+README-WARNING+.txt), który jest upuszczany do folderów zawierających zaszyfrowane pliki. Ta notatka wyraźnie stwierdza, że ​​pliki zostały zaszyfrowane i zawiera instrukcje dotyczące zapłacenia okupu w celu odzyskania plików. Notatka może zawierać szczegóły, takie jak żądana kwota okupu, zwykle w kryptowalutach takich jak Bitcoin, aby zapewnić anonimowość transakcji.

CryptNet Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na zainfekowanych komputerach i żąda zapłaty okupu za klucz deszyfrujący. Jest to nowe oprogramowanie ransomware jako usługa (RaaS), które pojawiło się w kwietniu 2023 r. i jest znane ze swojej skuteczności w szyfrowaniu plików. Ransomware jest napisane w języku programowania .NET i jest zaciemniane przy użyciu .NET Reactor, aby uniknąć wykrycia. Po zaszyfrowaniu plików CryptNet dołącza losowe pięcioznakowe rozszerzenie do oryginalnych nazw plików, dzięki czemu można je łatwo zidentyfikować jako zainfekowane przez to konkretne oprogramowanie ransomware. CryptNet wykorzystuje kombinację 256-bitowego algorytmu AES w trybie CBC i 2048-bitowego algorytmu szyfrowania RSA do blokowania plików. Ta metoda podwójnego szyfrowania gwarantuje, że pliki są bezpiecznie zaszyfrowane i nie można ich odszyfrować bez unikalnych kluczy posiadanych przez atakujących. Po zaszyfrowaniu CryptNet upuszcza notatkę z żądaniem okupu o nazwie RESTORE-FILES-[random_string].txt na pulpicie ofiary. Notatka informuje ofiary o szyfrowaniu i zawiera instrukcje dotyczące zapłacenia okupu w celu odzyskania plików. Zawiera także unikalny identyfikator deszyfrowania i może oferować bezpłatny test deszyfrowania, aby udowodnić zdolność atakujących do odszyfrowania plików.

DoNex Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania ransomware, którego zadaniem jest szyfrowanie danych na komputerze ofiary, uniemożliwiając dostęp do plików do czasu zapłacenia okupu. Ten konkretny wariant oprogramowania ransomware został zidentyfikowany przez badaczy bezpieczeństwa informacji jako zagrożenie szyfrujące dane użytkownika i żądające zapłaty za możliwość ich odszyfrowania. DoNex dołącza unikalny identyfikator ofiary do rozszerzeń zaszyfrowanych plików. Na przykład plik o nazwie myphoto.jpg zostanie zmieniona nazwa na coś takiego myphoto.jpg.5GlA66BK7 po zaszyfrowaniu przez DoNex. Chociaż szczegółowe informacje na temat algorytmu szyfrowania używanego przez DoNex nie są jeszcze znane, oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy kryptograficzne, symetryczne lub asymetryczne, do blokowania plików. DoNex pozostawia żądanie okupu o nazwie Readme.[ID_ofiary].txt na komputerze ofiary, która zawiera instrukcje dotyczące sposobu skontaktowania się z atakującymi, zwykle za pośrednictwem określonego kanału komunikacji, takiego jak komunikator Tox, oraz żądania zapłaty.

Oprogramowanie ransomware Nood to złośliwe oprogramowanie, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi bez klucza deszyfrującego. Klucz ten jest zazwyczaj przechowywany przez atakujących, którzy żądają okupu w zamian za jego uwolnienie. Zrozumienie mechaniki oprogramowania ransomware NOOD, metod jego infekcji, specyfiki stosowanego szyfrowania oraz możliwości deszyfrowania ma kluczowe znaczenie zarówno w zapobieganiu, jak i naprawianiu skutków. Gdy Nood Ransomware infekuje komputer, szyfruje pliki przy użyciu wyrafinowanych algorytmów szyfrowania. Tego rodzaju oprogramowanie ransomware zazwyczaj wykorzystuje silne szyfrowanie asymetryczne, co sprawia, że ​​nieautoryzowane odszyfrowanie jest niezwykle trudne bez unikalnego klucza posiadanego przez atakujących. Zaszyfrowane pliki są dołączane z rozszerzeniem .nood przedłużenie, oznaczające ich niedostępność. Po zakończeniu procesu szyfrowania Nood Ransomware generuje notatkę z żądaniem okupu (_readme.txt), instruując ofiary, jak zapłacić okup, aby potencjalnie odzyskać swoje pliki. Notatka zazwyczaj zawiera instrukcje dotyczące płatności, zwykle wymagające płatności w Bitcoinach i podkreśla pilność dokonania płatności w celu odzyskania klucza deszyfrującego.

Oprogramowanie ransomware Duralock to rodzaj złośliwego oprogramowania uznawany przez badaczy bezpieczeństwa informacji za istotne zagrożenie. Należy do rodziny ransomware MedusaLocker i ma na celu szyfrowanie danych na zainfekowanych komputerach, uniemożliwiając użytkownikom dostęp do plików. Po zainfekowaniu komputera Duralock szyfruje pliki użytkownika i dołącza charakterystyczne rozszerzenie, .duralock05, do nazw plików. Oznacza to, że pliki są zaszyfrowane i uniemożliwia użytkownikom dostęp do ich zawartości bez klucza deszyfrującego. Duralock Ransomware tworzy notatkę z żądaniem okupu o nazwie HOW_TO_BACK_FILES.html na zainfekowanym komputerze. Notatka ta zazwyczaj zawiera instrukcje dla ofiary, w jaki sposób zapłacić atakującemu okup w zamian za klucz odszyfrowujący niezbędny do odblokowania zaszyfrowanych plików. W tym artykule opisano metody usuwania, narzędzia do usuwania i możliwe sposoby odszyfrowania zaszyfrowanych plików bez negocjowania ze złoczyńcami.

RSA-4096 Ransomware to odmiana rodziny ransomware Xorist, która znana jest z szyfrowania danych ofiar i żądania okupu za klucz deszyfrujący. Ta konkretna odmiana wykorzystuje algorytm szyfrowania RSA-4096, który jest częścią asymetrycznego szyfru RSA z kluczem o długości 4096 bitów, co czyni go bardzo bezpiecznym i trudnym do złamania. Kiedy ransomware RSA-4096 szyfruje pliki, dołącza rozszerzenie .RSA-4096 rozszerzenia nazw plików. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.RSA-4096. Po zaszyfrowaniu plików ransomware RSA-4096 upuszcza notatkę z żądaniem okupu zatytułowaną HOW TO DECRYPT FILES.txt na pulpicie ofiary lub w zaszyfrowanych katalogach. Ta notatka wyjaśnia, że ​​pliki zostały zaszyfrowane i zawiera instrukcje dotyczące zapłaty okupu w celu otrzymania klucza odszyfrowania. Ofiary proszone są o zapłacenie 2 BTC (około 124,000 48 dolarów w momencie pisania tego tekstu) w ciągu XNUMX godzin za klucz odszyfrowujący. Jednak płatność nie gwarantuje odzyskania plików, a usunięcie oprogramowania ransomware nie powoduje ich odszyfrowania. Jedyną niezawodną metodą odzyskiwania są kopie zapasowe.

Ransomware Payuranson to rodzaj złośliwego oprogramowania należącego do rodziny ransomware Skynet. Po udanej infiltracji Payuranson Ransomware inicjuje zaawansowaną procedurę szyfrowania. Zwykle atakuje szeroką gamę typów plików, w tym dokumenty, obrazy, filmy i bazy danych, aby zmaksymalizować wpływ ataku. Ransomware zazwyczaj dołącza określone rozszerzenie do zaszyfrowanych plików .payuranson, który służy jako wyraźny wskaźnik infekcji. Algorytm szyfrowania stosowany przez Payuranson Ransomware jest często zaawansowany i wykorzystuje kombinację metod szyfrowania RSA i AES. Są to algorytmy kryptograficzne znane ze swojej niezawodności, co sprawia, że ​​nieautoryzowane odszyfrowanie jest wyjątkowo trudne bez unikalnego klucza deszyfrującego posiadanego przez atakujących. Po procesie szyfrowania Payuranson Ransomware generuje notatkę z żądaniem okupu, zazwyczaj nazwaną SkynetData.txt lub podobny wariant i umieszcza go w każdym folderze zawierającym zaszyfrowane pliki. Ta notatka zawiera instrukcje, jak skontaktować się z atakującymi, zwykle za pośrednictwem poczty elektronicznej lub witryny płatności opartej na Tor, oraz kwotę żądanego okupu, często w kryptowalutach takich jak Bitcoin. Notatka może również zawierać groźby usunięcia danych lub ujawnienia danych, aby zmusić ofiary do zapłacenia okupu.