Ransomware

Kot4er to wirus ransomware, który uruchamia szyfrowanie danych po zainfekowaniu docelowego systemu. Czyni to poprzez przypisanie .cat4er rozszerzenie, aby wyglądały zaszyfrowane pliki 1.pdf.cat4er, 1.png.cat4er, 1.xlsx.cat4er, i tak dalej w zależności od oryginalnej nazwy. Po uruchomieniu takich zmian wirus tworzy plik HTML o nazwie HOW_FIX_FILES.htm i miał na celu instruowanie ofiar przez proces odszyfrowywania. Jak stwierdzono w notatce HTML, ofiary mogą ponownie uzyskać dostęp do wszystkich zablokowanych danych, przechodząc do załączonego łącza TOR i postępując zgodnie z instrukcjami dotyczącymi zakupu specjalnego oprogramowania deszyfrującego. Ofiary mają 10 dni na podjęcie decyzji o zapłaceniu okupu w wysokości 0.08 BTC - około 3300 $ w momencie pisania tego artykułu. Po dokonaniu płatności cyberprzestępcy obiecują wysłać zadeklarowane narzędzia zdolne do odszyfrowania plików. Niestety, aktorzy ransomware są jedynymi osobami posiadającymi klucze niezbędne do odblokowania twoich danych. Klucze te są często silnie zabezpieczone i prawie niemożliwe do złamania za pomocą narzędzi innych firm.

Nowe wykorzystanie to wirus ransomware przeznaczony do szyfrowania danych przechowywanych na komputerze i szantażowania ofiar w celu zapłacenia tak zwanego okupu. Udane szyfrowanie jest uzasadnione po tym, jak Newexploit zmieni rozszerzenia plików na .exploit. Na przykład plik taki jak 1.pdf upuści swoją oryginalną ikonę i zmieni się na 1.pdf.exploit. W rezultacie użytkownicy tracą dostęp do plików, co oznacza, że ​​nie mogą ich już czytać ani edytować. Aby to naprawić, Newexploit oferuje swoim ofiarom wykonanie instrukcji zapisanych w notatce tekstowej (INFORMACJE O ODZYSKIWANIU.txt). Ta notatka jest tworzona natychmiast po pomyślnym zaszyfrowaniu i zawiera informacje o tym, jak odzyskać dane.

Będąc częścią rodziny Phobos, Elbiego to infekcja ransomware zaprojektowana w celu generowania zysków dla swoich twórców poprzez wyłudzanie pieniędzy od ofiar. Robi to zaraz po zaszyfrowaniu danych i dodaniu nowych rozszerzeń plików. Na przykład plik o nazwie 1.pdf zmieni się w coś takiego 1.pdf.id[C279F237-2994].[antich154@privatemail.com].Elbie a także zresetować jego oryginalną ikonę. Wzorzec używany przez cyberprzestępców do zmiany nazw plików to original_filename.[victim's ID].[antich154@privatemail.com].Elbie. Po zastosowaniu wszystkich zmian wizualnych, wirus tworzy dwa żądania okupu tzw info.hta i info.txt. Oba zawierają krótką i obszerniejszą instrukcję, jak zwrócić zablokowane dane.

Deadbolt to wirus ransomware, który hakuje urządzenia QNAP i NAS, wykorzystując luki w zabezpieczeniach do szyfrowania przechowywanych danych. Dzieje się to natychmiast, nie pozwalając użytkownikom zapobiec procesowi i uratować swoje pliki przed silnym szyfrowaniem. Po rozpowszechnieniu wirus przejmuje kontrolę nad ekranem logowania QNAP, aby wyświetlić żądanie okupu, żądające od ofiar zapłaty za odszyfrowanie. Uniemożliwia to zainfekowanym użytkownikom przechodzenie w dowolne miejsce poza ekranem logowania, aby na przykład uzyskać dostęp do ich strony administracyjnej. Chociaż firma QNAP zauważyła, że ​​można to ominąć, korzystając z następujących adresów URL: http://nas_ip:8080/cgi-bin/index.cgi or https://nas_ip/cgi-bin/index.cgi. Ponadto wszystkie wyskakujące okienka z żądaniem okupu są również zawarte w jednym pliku HTML o nazwie indeks.html_deadlock.txt. DeadBolt przypisuje również nowy zasuwka rozszerzenie na wszystkie dane w systemie, na które ma to wpływ. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.deadbolt stają się całkowicie niedostępne. To samo stanie się ze wszystkimi plikami zaszyfrowanymi przez DeadBolt Ransomware. Możesz rozszerzyć listę wszystkich rozszerzeń plików, na które atakuje ten wariant ransomware:

Asistchindeszyfrowanie został sklasyfikowany jako infekcja ransomware. Oznacza to, że jest w stanie zaszyfrować dane osobowe i zażądać pieniędzy za ich zwrot. Podczas szyfrowania wszystkie zainfekowane pliki doświadczają zmian wizualnych - wirus dołącza .asistchinadecryption wraz z identyfikatorem ofiary do oryginalnych nazw plików. Na przykład plik taki jak 1.pdf zostanie zmieniony na 1.pdf.asistchinadecryption.C04-41D-05E i zresetuj jego oryginalną ikonę. To samo zostanie zastosowane do wszystkich innych danych różniących się tylko identyfikatorami na ofiarę. Narzędzie do szyfrowania plików tworzy również plik o nazwie !!! WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE !!!.TXT. To jest żądanie okupu, które ma na celu dostarczenie ofiarom wskazówek, jak odzyskać pliki.

biały Królik jest klasyfikowany jako program ransomware, który uruchamia szyfrowanie danych w celu zażądania pieniędzy za ich zwrot. Został wykryty przez Michaela Gillespie - popularnego badacza złośliwego oprogramowania specjalizującego się w infekcjach ransomware. Podczas szyfrowania wszystkich ważnych danych przechowywanych w systemie, wirus dołącza plik .scrypt rozszerzenie na koniec każdego pliku. Na przykład próbka o nazwie 1.pdf zmieni się na 1.pdf.scrypt i zresetuj jego oryginalną ikonę. Ponadto wszystkie zablokowane pliki otrzymają pliki z żądaniem okupu z unikalnymi kluczami szyfrowania. 1.pdf.scrypt dostanie 1.pdf.scrypt.txt, 1.xlsx.scrypt - 1.xlsx.scrypt.txt, i tak dalej.

WaspLocker jest dość niszczycielską infekcją wirusową, która szyfruje dane osobowe za pomocą silnych algorytmów kryptograficznych. Ma to na celu zapewnienie, że użytkownicy nie będą mogli zwrócić swoich danych bez pomocy cyberprzestępców. Niestety, cyberprzestępcy żądają od swoich ofiar zapłaty 0.5 BTC, co jest nieznośnie wysoką kwotą. Użytkownicy zaatakowani przez WaspLocker otrzymują te informacje w wiadomości tekstowej o nazwie Jak przywrócić pliki.txt oraz osobne wyskakujące okienko z instrukcjami, jak odzyskać zablokowane pliki. Ponadto programiści WaspLocker podkreślają szyfrowanie danych, dodając nowe rozszerzenia (.locked or .0.locked) i resetowanie ikon plików. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.locked or 1.pdf.0.locked w zależności od wersji WaspLockera, która zainfekowała twój system.

KMA47 został opracowany wyłącznie w celu - szyfrowania danych osobowych i żądania pieniędzy za ich zwrot. Taki wirus należy do kategorii infekcji ransomware wysokiego ryzyka. Proces szyfrowania danych rozpoczyna się od dodania nowych .szyfrować rozszerzenie na końcu zablokowanych plików i kończy się utworzeniem read_me.txt - żądanie okupu wyjaśniające instrukcje, jak odzyskać pliki. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.encrypt i zresetuj jego ikonę. KMA47 zmienia także tapety ofiar. Notatka mówi, że został zhakowany przez wirusa, co spowodowało pełne zaszyfrowanie danych. Aby to naprawić, ofiary są kierowane do skontaktowania się z cyberprzestępcami za pomocą komunikacji e-mail (menadżer@mailtemp.ch or helprestoremanager@airmail.cc) i ostatecznie zapłacić okup w wysokości 100 $. Po wysłaniu pieniędzy programiści ransomware powinni wysłać twój klucz prywatny i specjalne oprogramowanie deszyfrujące, aby odblokować dane. Chociaż cyberprzestępcy mogą być jedynymi postaciami, które są w stanie w pełni odszyfrować twoje dane, zapłacenie okupu nie zawsze gwarantuje, że ostatecznie je zdobędziesz. Niestety ręczne odszyfrowanie jest również mniej prawdopodobne ze względu na silne algorytmy i przechowywanie kluczy online. Możesz spróbować, używając deszyfratorów innych firm, chyba że masz dostępne kopie zapasowe. Jeśli masz zapasowe pliki przechowywane w bezpiecznej chmurze lub fizycznym magazynie, skopiuj je z powrotem i unikaj płacenia okupu.