Ransomware

Eeeeee to niebezpieczny wirus, który wykonuje szyfrowanie danych za pomocą szyfrów kryptograficznych, aby uniemożliwić ofiarom dostęp do nich. Tego typu infekcja jest klasyfikowana jako ransomware i ma na celu skłonienie ofiar do wysłania pieniędzy za odszyfrowanie. Aby pokazać, że pliki przechowywane na komputerze zostały zaszyfrowane, wirus przypisuje własne .eeeee rozszerzenie z ciągami losowych symboli generowanych jednoznacznie dla każdej zaszyfrowanej próbki. Na przykład plik taki jak 1.pdf będzie musiał stawić czoła zmianie 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee lub podobnie z innymi symbolami. Dostęp do zaszyfrowanych plików zostanie zablokowany, a ich ikony zostaną zresetowane do stanu pustego. Niemal natychmiast po zaszyfrowaniu Eeyee tworzy plik 6pZZ_HOW_TO_DECRYPT.txt wiadomość tekstową z instrukcjami dotyczącymi okupu. Notatka ma na celu poinformowanie ofiar o zmianach i przeprowadzenie ich przez proces odzyskiwania. Cyberprzestępcy twierdzą, że zakup specjalnego oprogramowania deszyfrującego jest obowiązkowy, aby zwrócić pliki i zapobiec wyciekom zaatakowanych danych. Ofiary są instruowane, aby skontaktowały się z oszustami za pomocą łącza cebulowego w przeglądarce Tor. Po wykonaniu tych kroków ofiary skontaktują się z programistami i poznają dalsze szczegóły dotyczące zakupu narzędzi. Notatka zawiera również wiadomości odradzające modyfikowanie danych lub proszenie o pomoc osób trzecich (FBI, policja, firmy windykacyjne itp.).

Musisz zapłacić to rodzaj wirusa sklasyfikowany jako ransomware. Działa poprzez szyfrowanie plików osobistych i żądanie pieniędzy za ich zwrot. Podczas tego procesu ransomware przypisuje plik .musisz zapłacić rozszerzenie do wszystkich zablokowanych danych. Na przykład plik taki jak 1.pdf zostanie zmieniony na 1.pdf.youneedtopay i zresetuj jego oryginalną ikonę. Po dołączeniu tych zmian wirus tworzy notatkę tekstową o nazwie PRZECZYTAJ_THIS.txt co ma na celu wyjaśnienie instrukcji deszyfrowania. Tapety pulpitu również ulegają zmianie. Przyjrzyj się bliżej, jaka jest tam zawartość.

Szafka administratora to nazwa wirusa ransomware, który zaczął się rozprzestrzeniać w grudniu 2021 roku. Wykorzystuje kombinację algorytmów AES+RSA do zapisywania bezpiecznych szyfrów kryptograficznych na przechowywanych danych. Wpływa to na dostęp do plików i ich wygląd. Admin Locker dołącza jedno z następujących rozszerzeń do wszystkich zablokowanych danych - .admin1, .admin2, .admin3, .1admin, .2adminlub .3admin. Nie ma znaczenia, który z nich został zastosowany do Ciebie. Ich jedyną funkcją jest pokazanie, że pliki zostały zaszyfrowane i sprawienie, by ofiary to zobaczyły. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.1admin (lub inne rozszerzenie) i staną się niedostępne. Po zakończeniu szyfrowania Admin Locker wyjaśnia, jak odzyskać dane w swojej notatce tekstowej (!!!Recovery File.txt) i na swojej stronie internetowej, do której można uzyskać dostęp za pośrednictwem łącza TOR.

Nie ma mowy to infekcja ransomware, która szyfruje wszystkie ważne dane przy użyciu algorytmów AES-256. Zmienia również nazwy zablokowanych danych za pomocą losowo generowanych symboli i .nie ma mowy rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 611hbRZBWdCCTALKlx.noway i utracić swoją oryginalną ikonę po pomyślnym zaszyfrowaniu. Z reguły większość plików zaszyfrowanych przez ransomware nie może zostać odszyfrowana bez pomocy cyberprzestępców. Mimo to Noway Ransomware jest jednym z niewielu, które można oficjalnie odszyfrować za pomocą narzędzia Emisoft za darmo. Możesz go pobrać dalej w naszym przewodniku poniżej. Zachęcamy, aby nie spieszyć się z procesem odszyfrowywania, ponieważ najpierw należy usunąć wirusa (również omówionego w tym samouczku). Oprócz szyfrowania danych osobowych, Noway wysyła notatkę tekstową o nazwie Odblokuj plik Instraction.txt. Notatka pokazuje, jak odzyskać dane z pomocą programistów ransomware. Oszuści dają 72 godziny na podjęcie decyzji o zapłaceniu okupu. Jeśli ofiary przekroczą ten termin płatności, oszuści twierdzą, że Twoje dane staną się niedostępne na zawsze. Nie jest to prawdą, ponieważ programistom firmy Emisoft udało się złamać szyfry i pomóc ofiarom w odszyfrowaniu plików Noway za darmo.

RL Wana-XD to infekcja ransomware, która szyfruje ważne dane przechowywane na komputerze. Aby to podkreślić, wirus reklamuje własne .XD-99 rozszerzenie do wszystkich nazw plików, których dotyczy problem. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.XD-99 i zresetuj jego oryginalną ikonę. W rezultacie ofiary nie będą już mogły uzyskać dostępu do pliku i przeglądać jego zawartości. Aby odwrócić te implikacje, twórcy RL Wana-XD proponują swoim ofiarom przeczytanie specjalnych instrukcji deszyfrowania wewnątrz notatki tekstowej (Readme.txt). Notatka tekstowa jest krótka, ale konkretna - programiści twierdzą, że jedynym sposobem na zwrócenie danych jest zapłacenie za unikalne oprogramowanie deszyfrujące i klucz. W tym celu ofiary są kierowane do oszustów poprzez kontakt Wana-XD@bk.ru or RL000@protonmail.ch adresy e-mail. Niestety klucze używane przez RL Wana-XD Ransomware do szyfrowania danych są często bezpieczne i przechowywane w trybie ONLINE. Oznacza to, że ręczne odszyfrowanie za pomocą narzędzi stron trzecich prawdopodobnie nie przyniesie rezultatów lub uda się odszyfrować tylko część danych. Jeśli nie masz osobistego identyfikatora kończącego się na t1, odszyfrowanie przez stronę trzecią będzie mniej pomocne. Jednocześnie płacenie cyberprzestępcom zawsze wiąże się z ryzykiem, ponieważ mogą oni oszukać swoje ofiary i nie wysłać żadnego obiecanego odszyfrowania.

Razer to nazwa infekcji ransomware, która uruchamia szyfrowanie danych żądając od ofiar zapłaty pieniędzy za ich zwrot. Użytkownicy zainfekowani tym wirusem zobaczą zmienione nazwy plików z losowym ciągiem znaków, adresem e-mail cyberprzestępców (razer1115@goat.si), A .razer rozszerzenie na koniec. Na przykład plik o nazwie 1.pdf który przeszedł te zmiany, będzie wyglądał mniej więcej tak 1.pdf.[42990E91].[razer1115@goat.si].razer i zresetuj jego ikonę do pustej. W celu odszyfrowania danych twórcy wirusów proponują postępować zgodnie z instrukcjami zawartymi w pliku plik readme-warning.txt notatka tekstowa. Mówi się, że ofiary powinny kontaktować się z oszustami za pomocą jednego z e-maili (razer1115@goat.si, pecunia0318@tutanota.comlub pecunia0318@goat.si) i zapłacić okup w bitcoinach. Aby przekonać ofiary, że można im zaufać, cyberprzestępcy oferują tak zwaną opcję gwarancji, w ramach której ofiary mogą wysłać 2 pliki z prostymi rozszerzeniami (maks. 1 MB) i otrzymać je za darmo w postaci odszyfrowanej. Wielu twórców ransomware wykorzystuje tę sztuczkę, aby nakłonić ofiary do zapłacenia okupu i pozostania z nimi w kontakcie. Zdecydowanie zalecamy unikanie spełniania próśb programistów i zamiast tego odzyskiwanie danych za pomocą kopii zapasowej.

Odkryty przez badacza złośliwego oprogramowania o nazwie S!Ri, surtra to program ransomware opracowany w celu szyfrowania różnych typów danych osobowych. Często zdarza się, że popularne pliki, takie jak muzyka, zdjęcia i dokumenty, są dotknięte atakiem wirusa. Surtr wykorzystuje pocztę e-mail cyberprzestępców (DecryptMyData@mailfence.com) i .SURT rozszerzenie, aby zmienić nazwę wszystkich zablokowanych danych. Na przykład plik podobny do 1.pdf zmieni się na 1.pdf.[DecryptMyData@mailfence.com].SURT i zresetuj pierwotną ikonę do pustej. Ta sama zmiana zostanie zastosowana do innych danych, które przeszły szyfrowanie. Ponadto po pomyślnym zaszyfrowaniu tworzone są dwa pliki - notatka tekstowa o nazwie SURTR_README.txt i SURTR_README.hta że ma to na celu otwarcie wyskakującego okienka. Oba te pliki służą do dostarczania ofiarom instrukcji ransomware. Możesz dokładnie przyjrzeć się ich zawartości tutaj poniżej:

Bycie częścią Rodzina ransomware Dharma, Dr to kolejny program szyfrujący pliki, który blokuje dostęp do danych i żąda od swoich ofiar zapłaty pieniędzy za zwrot. Gdy tylko szyfrowanie wejdzie w życie, wszystkie pliki przechowywane w systemie zostaną zmienione za pomocą unikalnego identyfikatora ofiary, adresu e-mail programistów i .dr rozbudowa. Dotknięta próbka jak 1.pdf zmieni się w coś takiego 1.pdf.id-1E857D00.[dr.decrypt@aol.com].dri tak dalej z innymi typami zaszyfrowanych danych. Jedyną zmienną informacją są identyfikatory ofiar, więc najprawdopodobniej będą one różne dla każdego zainfekowanego użytkownika. Po pomyślnym zaszyfrowaniu wirus tworzy notatkę tekstową o nazwie FILES ENCRYPTED.txt. Wymusza również otwarcie okna pop-up zawierającego te same instrukcje dotyczące okupu, co w notatce. Ofiary otrzymują instrukcje kontaktu z szantażystami za pośrednictwem poczty elektronicznej. Ich adres e-mail jest również widoczny wewnątrz nowego rozszerzenia, które jest dodawane do zablokowanych danych. Jeśli programiści nie odpowiedzą w ciągu 12 godzin, ofiary powinny napisać na inny adres e-mail podany w notatce. Co więcej, oszuści stojący za Dr Ransomware ostrzegają swoje ofiary, aby nie zmieniały nazw plików ani nie używały narzędzi innych firm do ich odszyfrowania. Nie ma również informacji, ile ofiary powinny zapłacić za odszyfrowanie swoich danych, ponieważ będzie to wiadomo podczas kontaktu z oszustami.