Ransomware

Anime to nazwa kryptowirusa. Został zaprojektowany, aby uniemożliwić dostęp do danych przechowywanych w systemie i uniemożliwić ich działanie. Użytkownicy zainfekowani oprogramowaniem ransomware mogą zobaczyć proces szyfrowania, przeglądając pliki objęte ograniczeniami — wszystkie z nich zostają zmienione za pomocą .anime rozbudowa. Na przykład plik taki jak 1.pdf zostanie zmieniony na 1.pdf.anime i zresetuj również jego oryginalną ikonę. Po załatwieniu sprawy z szyfrowaniem wirus żąda okupu, aby dowiedzieć się, jak odzyskać dane. Można je znaleźć w pliku tekstowym o nazwie I_LOVE_ANIME.txt. Jak podano w notatce, ofiary mają 2 dni na skontaktowanie się z cyberprzestępcami pod adresem zdarovachel@gmx.at i zapłacenie za odszyfrowanie plików. Jeśli ofiary nie dotrzymają wyznaczonego terminu, wszystkie zaszyfrowane dane zostaną opublikowane w zasobach ciemnej sieci w celu wykorzystania w przyszłości. Ponadto twórcy oprogramowania ransomware odradzają modyfikowanie plików lub próby ich odszyfrowania bez udziału cyberprzestępców. W chwili pisania tego artykułu nie ma gwarantowanego sposobu na bezpłatne odszyfrowanie danych bez pomocy początkowych programistów.

Kashima (Kashima Ware) to program ransomware - rodzaj złośliwego oprogramowania przeznaczonego do szyfrowania danych i żądania pieniędzy za ich zwrot. W przeciwieństwie do innych infekcji tego rodzaju, wirus atakuje określone i dość nietypowe formaty plików - .config, .cfg, .js, .NOOB, .lua, .lw, .tryme również. Dlatego modyfikuje je za pomocą .KASHIMA rozbudowa. Na przykład plik taki jak 1.js zmieni się na 1.js.KASHIMA, 1.cfg do 1.cfg.KASHIMA i tak dalej z innymi danymi, których to dotyczy. Jak tylko ten proces zostanie zakończony, Kashima wyświetli wyskakujący komunikat (OSTRZEŻENIE!) na całym ekranie.

Przepraszam, to po prostu firma to nazwa wirusa ransomware. Podobnie jak inne infekcje tego typu, szyfruje dane osobowe i szantażuje ofiary w celu zapłacenia okupu. Proces szyfrowania można łatwo wykryć, przeglądając pliki, których dotyczy problem. Sorryitsjustbusiness zmienia oryginalne rozszerzenia na losowe znaki i resetuje ikony do pustych. Aby to zilustrować, plik taki jak 1.pdf może zmienić na 1.pdf.ws9y, 1.png do 1.png.kqfb, i tak dalej z innymi losowymi rozszerzeniami i plikami. Po pomyślnym zaszyfrowaniu wirus tworzy notatkę tekstową o nazwie read_it.txt i instaluje nowe tapety pulpitu. Zarówno notatka tekstowa, jak i tapety wyświetlają informacje o tym, jak odzyskać dane. Mówi się, że ofiary muszą kupić ekskluzywny klucz, aby odszyfrować swoje pliki. Koszt tego klucza to aż 150,000 XNUMX $, które należy zapłacić w Bitcoinach na załączony adres kryptograficzny. Po wykonaniu przelewu ofiary powinny poinformować oszustów wysyłając wiadomość na ich adres e-mail (przepraszamitsjustbusiness@protonmail.com). Jeśli ofiary nie zrobią tego w ciągu 24 godzin po zarażeniu, cena za odszyfrowanie zostanie podwojona. Wspomniano również, że zaszyfrowane pliki zostaną usunięte po 48 godzinach bezczynności ofiary. Na podstawie żądanej kwoty okupu możemy założyć, że celem Sorryitsjustbusiness są firmy o dobrym poziomie zarobków. Z reguły nie zaleca się ufania cyberprzestępcom i płacenia żądanego przez nich okupu.

Bycie częścią pył rodzina, SZAFKA ANUBIZ to infekcja ransomware przeznaczona do szyfrowania danych. Czyni to za pomocą bezpiecznych algorytmów szyfrowania i modyfikując nazwy danych, których dotyczy problem, za pomocą rozszerzenia .lomer rozbudowa. Dla zilustrowania plik o nazwie 1.pdf zmieni się na 1.pdf.lomer i zresetuj pierwotną ikonę do pustej. Po pomyślnym ograniczeniu dostępu do danych, wirus szantażuje ofiary w celu zapłacenia okupu. Dokonuje się to poprzez How To Restore Your Files.txt plik tekstowy tworzony na zaatakowanych urządzeniach. Plik mówi, że wszystkie cenne pliki zostały zaszyfrowane i skopiowane na serwery cyberprzestępców, wszystkie kopie zapasowe zostały również usunięte. Ofiary mogą potencjalnie odzyskać swoje dane, kupując specjalne oprogramowanie deszyfrujące oferowane przez osoby atakujące. Zaleca się nawiązanie kontaktu z cyberprzestępcami przy użyciu ich adresu e-mail, aby uzyskać dalsze szczegóły dotyczące odszyfrowywania. Zainfekowani użytkownicy mogą również załączyć jeden plik do swojej wiadomości i bezpłatnie go odszyfrować. Jeśli ofiary zignorują te prośby i będą zwlekać z zapłaceniem okupu, cyberprzestępcy grożą rozpoczęciem wycieku zebranych plików do zasobów ciemnej sieci.

Qmam4 jest infekcją wysokiego ryzyka sklasyfikowaną jako kryptowirus. Powodem, dla którego nosi taką nazwę, jest jego zachowanie po ataku - wirus żąda od ofiar zapłaty określonej sumy pieniędzy w kryptowalucie po zablokowaniu dostępu do danych. Takie infekcje są również znane jako ransomware. Szyfrują dane osobowe i szantażują ofiary w celu zapłacenia okupu. Podczas szyfrowania Qmam4 dołącza ciąg losowych znaków i nowy .qmam4 rozszerzenie do każdego pliku, którego dotyczy problem. Na przykład, 1.pdf zmieni się na 1.pdf.{random sequence}.qmam4 stają się niedostępne. Następnie Qmam4 tworzy plik tekstowy o nazwie C3QW_HOW_TO_DECRYPT.txt który ilustruje, w jaki sposób ofiary mogą odblokować swoje dane. Mówi się, że ofiary mogą odszyfrować i zapobiec sprzedaży ważnych danych w zasobach ciemnej sieci. Aby to zrobić, ofiary są proszone o skontaktowanie się z cyberprzestępcami za pomocą łącza Tor. Po skontaktowaniu się z programistami rzekomo powiedzą ci, abyś wysłał pieniądze w kryptowalucie, a następnie odzyskał specjalne narzędzie deszyfrujące. Jeśli ofiary odmówią wykonania instrukcji, zebrane dane zostaną ujawnione osobom trzecim. Niestety, współpraca z cyberprzestępcami może być jedynym sposobem na odszyfrowanie danych i uniknięcie ich publicznej eksfiltracji. Jest mniej prawdopodobne, że jakieś narzędzie innej firmy będzie w stanie odszyfrować twoje dane za darmo, bez pomocy atakujących.

ALBASA to wirus typu ransomware przeznaczony do szyfrowania danych przechowywanych w systemie i szantażowania ofiar w celu zapłacenia pieniędzy za ich zwrot. Podczas szyfrowania wszystkie pliki otrzymują nowy .ALBASA rozszerzenie i zresetuj ich oryginalne ikony do pustych. Towarzyszy temu również tworzenie RESTORE_FILES_INFO.txt - notatkę tekstową zawierającą instrukcje, jak odzyskać zablokowane dane.

Cantopen to infekcja ransomware, która została odkryta całkiem niedawno. Szyfruje pliki osobiste, dodając rozszerzenie cantopen rozszerzenie i utworzenie HELP_DECRYPT_TWOJE_PLIKI.txt plik tekstowy do szantażowania ofiar w celu zapłacenia okupu. Aby to zilustrować, plik o nazwie 1.pdf zostanie zmieniony na 1.pdf.cantopen i upuść jego oryginalną ikonę skrótu. Taka zmiana zostanie zastosowana do wszystkich danych docelowych, co spowoduje, że nie będą one już dostępne.

Czarny to nazwa infekcji ransomware, która została odkryta całkiem niedawno. Został opracowany w celu uruchomienia szyfrowania danych i szantażowania ofiar w celu zapłacenia pieniędzy za ich zwrot. Ofiary mogą wykryć pomyślne odszyfrowanie po prostu patrząc na swoje pliki - większość z nich zostanie zmieniona przy użyciu .black rozszerzenie i utracić oryginalne ikony. Dać przykład, 1.pdf zostanie zmieniony na 1.pdf.black, 1.png do 1.png.black, i tak dalej z resztą docelowych plików. Następnie, gdy tylko ta część szyfrowania zostanie wykonana, wirus zawiera instrukcje deszyfrowania w notatce tekstowej (read_me.txt).