Ransomware

Jeśli twoje pliki zostały zaszyfrowane i zmienione za pomocą .wincrypto rozszerzenie, to prawdopodobnie jesteś ofiarą Ransomware WinCrypto. Jest to infekcja wysokiego ryzyka, która blokuje dostęp do ważnych danych przechowywanych na komputerze lub w sieci. Po zaszyfrowaniu pliki takie jak „1.pdf”, „1.mp4”, „1.png” i inne z potencjalnie wartościowymi rozszerzeniami resetują swoje ikony do stanu pustego i mają przypisane nowe rozszerzenia. Ilustrować, 1.pdf zmieni się na 1.pdf.wincrypto, 1.mp4 do 1.mp4.wincrypto, „1.png” do 1.png.wincrypto i tak dalej z innymi typami plików. Po zakończeniu tej części szyfrowania wirus generuje plik tekstowy o nazwie PRZECZYTAJ WINCRYPTO.txt który przechowuje instrukcje dotyczące okupu. Te same instrukcje są również prezentowane w oknie pop-up, które jest otwierane automatycznie. Tekst w wyskakującym okienku i notatce stwierdza, że ​​wszystkie dokumenty, zdjęcia, bazy danych i inne ważne dane zostały silnie zaszyfrowane. Aby to cofnąć i odzyskać dostęp do plików, ofiary są zachęcane do zakupu klucza prywatnego i specjalnego oprogramowania deszyfrującego. Płatności należy dokonać po pobraniu przeglądarki TOR i skontaktowaniu się z programistami poprzez link. Następnie ofiary zostaną zaangażowane w rozmowę, aby uzyskać dalsze instrukcje. Niestety żadne narzędzia innych firm nie są obecnie w stanie odszyfrować danych zagrożonych przez WinCrypto Ransomware ze 100% gwarancją.

Architekci to program ransomware, który atakuje ważne dane, blokując dostęp do nich. W związku z tym wirus prosi swoje ofiary o zapłacenie tak zwanego okupu w celu uzyskania unikalnego oprogramowania deszyfrującego i usunięcia przypisanej blokady. Zainfekowani użytkownicy zobaczą również, że ich pliki zostały zmienione za pomocą rozszerzenia architekt rozbudowa. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.architek i zresetuj jego oryginalną ikonę. Ransomware tworzy również notatkę tekstową o nazwie Jak odszyfrować plik files.txt wyjaśnić instrukcje odszyfrowywania. Notatka mówi, że sieć użytkowników została zaszyfrowana z powodu słabego bezpieczeństwa. Aby odzyskać dostęp do swoich plików, ofiary powinny skontaktować się z programistami. Chociaż szantażyści nie podali szacunkowej ceny, wspomniano, że cena odszyfrowania zależy od tego, jak szybko ofiary skontaktują się za pośrednictwem danego łącza TOR. Jeśli odmówisz wykonania wymienionych kroków, cyberprzestępcy grożą udostępnieniem twoich danych stronom trzecim, które mogą być nimi zainteresowane. Jako gwarancję, że są w stanie odszyfrować twoje dane, szantażyści proponują wysłanie kilku plików. Odszyfrują je za darmo i udowodnią, że można im zaufać. Niestety, nie zawsze tak jest w przypadku cyberprzestępców, ponieważ mają skłonność do oszukiwania swoich ofiar i mimo wszystko nie wysyłają żadnych narzędzi deszyfrujących. Mimo to całkowite odszyfrowanie wszystkich danych bez pomocy cyberprzestępców może być niemożliwe.

STOP/Djvu jest jedną z najpopularniejszych i najbardziej niszczycielskich rodzin oprogramowania ransomware, które atakują wielu użytkowników na całym świecie. Jest obsługiwany przez doświadczonych programistów, którzy regularnie tworzą i wydają nowe wersje ransomware. Podobnie jak inne złośliwe oprogramowanie tego typu, STOP/Djvu wykorzystuje silne algorytmy kryptograficzne wraz z przypisaniem niestandardowych rozszerzeń w celu ograniczenia dostępu do danych. Następnie użytkownicy nie mogą otwierać swoich plików, ponieważ są one blokowane za pomocą bezpiecznych szyfrów. Będąc w depresji i przygnębieniu psychicznym po otrzymaniu wirusa, cyberprzestępcy oferują rozwiązanie oszczędzające pliki - kupowanie specjalnego oprogramowania deszyfrującego, które przywróci dostęp do danych. Pokazują instrukcje dotyczące okupu wewnątrz notatki (.txt, HTML lub okna pop-up), która jest tworzona po zakończeniu szyfrowania. Ofiary są często instruowane, aby skontaktowały się z programistami i przesłały szacunkową sumę pieniędzy w BTC lub innych kryptowalutach. Jednak oczywiste jest, że wielu chciałoby tego uniknąć i odzyskać pliki za darmo lub przynajmniej za niską cenę. Właśnie o tym dzisiaj porozmawiamy. Postępuj zgodnie z naszym przewodnikiem poniżej, aby poznać wszystkie niezbędne kroki, które należy wykonać, aby odszyfrować lub przywrócić pliki zablokowane przez STOP/Djvu.

NRCL blokuje dostęp do danych i żąda od swoich ofiar zapłacenia tzw. okupu. Złośliwe oprogramowanie, które szyfruje dane i wyłudza pieniądze od zainfekowanych, jest zwykle klasyfikowane jako ransomware. NRCL robi to przy użyciu silnych szyfrów kryptograficznych, aby zapobiec ręcznemu odszyfrowaniu plików. Po udanym zaszyfrowaniu pliki przechowywane w systemie przejdą dwie wizualne zmiany - nową .NRCL rozszerzenie i ikony resetują się do stanu pustego. Próbka, która przeszła przez te zmiany, wyglądałaby mniej więcej tak 1.pdf.NRCL. Ponadto NRCL tworzy plik tekstowy o nazwie Uwaga.txt wraz z pouczeniem o sposobie zwrotu danych. Te same informacje są również ukryte w małym narzędziu deszyfrującym, za pomocą którego można je otworzyć NRCL_Deszyfrator.exe. Zawartość obu plików mówi, że jest tylko jeden sposób na odzyskanie danych - zapłać 300 $ za odszyfrowanie. Szantażyści radzą również ofiarom, aby nie wyłączały komputera ani nie przeprowadzały manipulacji plikami. Aby dokończyć płatność i otrzymać specjalny klucz deszyfrujący, ofiary muszą skontaktować się z programistami za pośrednictwem komunikacji e-mail. Po tym, ofiary powinny otrzymać klucz, włożyć go do dedykowanego miejsca okna pop-up i kliknąć Odszyfruj. Jednak w chwili pisania tego artykułu eksperci ds. złośliwego oprogramowania stwierdzili, że e-maile dostarczane przez NRCL nie istnieją, co oznacza, że ​​to oprogramowanie ransomware może nadal być w fazie rozwoju.

MME jest sklasyfikowany jako infekcja ransomware, która rozprzestrzenia się na niechronione systemy w celu szyfrowania danych i wyłudzania od ofiar pieniędzy za ich zwrot. Wirus używa własnego rozszerzenia (.MME), aby wyróżnić zablokowane dane i sprawić, by użytkownicy zauważyli ich ograniczenie. Na przykład wcześniej nietknięty plik o nazwie 1.pdf zmieni się na 1.pdf.MME i zresetuj jego oryginalną ikonę po pomyślnym zaszyfrowaniu. W wyniku tej zmiany ofiary nie będą już mogły uzyskać dostępu do pliku. Aby to naprawić i wrócić do regularnego korzystania z plików, cyberprzestępcy oferują płatną opcję - kup specjalne oprogramowanie deszyfrujące, które zwróci twoje dane. Instrukcje do zrobienia są wymienione w notatce tekstowej o nazwie Czytaj_ja.txt który jest dostarczany wraz z szyfrowaniem. Poniżej możesz zapoznać się z jego szczegółową zawartością:

NIEBIESKA SZAFKA jest infekcją wysokiego ryzyka sklasyfikowaną jako ransomware. Jego głównym celem jest wyłudzanie pieniędzy od ofiar po udanym zaszyfrowaniu danych osobowych. Przypisuje nowe .niebieski rozszerzenie i wysyła notatkę tekstową o nazwie plik_przywracania.txt aby przeprowadzić ofiary przez proces zdrowienia. Oznacza to plik podobny do 1.pdf zostanie zmieniony na 1.pdf.blue i zresetuj jego oryginalną ikonę. Tekst wewnątrz notatki jest podobny do innych infekcji ransomware. Mówi się, że wszystkie pliki zostały zaszyfrowane, kopie zapasowe usunięte i skopiowane na serwer cyberprzestępców. Aby cofnąć szkody i powrócić do normalnego działania z w pełni działającymi plikami, ofiary powinny kupić uniwersalny deszyfrator będący w posiadaniu twórców malware. Jeśli zdecydujesz się zignorować prośby cyberprzestępców, zaczną opróżniać twoje pliki z zasobów ciemnej sieci. Kontaktując się z programistami w sprawie odszyfrowania, proponuje się wysłanie 1 pliku, aby mogli go odblokować za darmo. Komunikacja między ofiarami a cyberprzestępcami jest napisana w taki sposób, aby mogła być nawiązywana za pośrednictwem poczty elektronicznej (grepmord@protonmail.com). Po skontaktowaniu się z nimi ofiary otrzymają dalsze instrukcje, jak zapłacić i zdobyć oprogramowanie deszyfrujące.

Pochodzący z Włoch, juliański to program typu ransomware skonfigurowany z silnymi algorytmami kryptograficznymi (AES-256) do uruchamiania bezpiecznego szyfrowania danych. Po zablokowaniu dostępu do plików osobistych, szantażyści próbują nakłonić ofiary do zapłacenia pieniędzy za odszyfrowanie danych. Ofiary mogą wykryć, że ich pliki zostały zaszyfrowane, po prostu patrząc na rozszerzenie - wirus dołącza nowe rozszerzenie ".Giuliano", aby podświetlić zablokowane dane. Oznacza to plik podobny do 1.pdf zmieni się na 1.pdf.Giuliano i zresetuj jego oryginalną ikonę. Informacje na temat odzyskiwania plików można znaleźć w notatce tekstowej o nazwie README.txt. Instrukcje odszyfrowywania zawarte w tym pliku są przedstawione w języku włoskim. Cyberprzestępcy informują ofiary o udanej infekcji i zachęcają je do postępowania zgodnie z wymienionymi instrukcjami. Mówią, że powinieneś odwiedzić stronę GitHub, aby wypełnić niektóre formularze. Następnie twórcy złośliwego oprogramowania prawdopodobnie skontaktują się ze swoimi ofiarami i poproszą o zapłacenie okupu. Zwykle wymagane jest uruchomienie płatności w BTC lub innej kryptowalucie używanej przez programistów. Niestety, szyfry zastosowane przez Giuliano Ransomware są silne i trudno je odszyfrować za pomocą narzędzi innych firm. Na razie najlepszym sposobem na odzyskanie plików, poza współpracą z oszustami, jest użycie kopii zapasowych.

Będąc niebezpiecznym wirusem ransomware, Wieża celuje w szyfrowanie danych i próbuje szantażować użytkowników, aby zapłacili okup. Wirus jest łatwy do odróżnienia od innych wersji, ponieważ przypisuje rozszerzenie .wieża rozszerzenie do wszystkich zablokowanych danych. Oznacza to plik podobny do 1.pdf zmieni się na 1.pdf.rook i zresetuj jego oryginalną ikonę po pomyślnym zaszyfrowaniu. Zaraz po tym Rook Ransomware tworzy notatkę tekstową o nazwie HowToRestoreYourFiles.txt pokazując użytkownikom, jak mogą odzyskać dane. Treść notatki tekstowej mówi, że dostęp do wszystkich danych można przywrócić tylko kontaktując się z oszustami i płacąc okup pieniężny. Komunikacja powinna być nawiązana za pośrednictwem poczty elektronicznej (rook@onionmail.org; bezpieczeństwoRook@onionmail.org) lub link przeglądarki TOR dołączony do notatki. Podczas pisania wiadomości do cyberprzestępców ofiarom proponuje się wysłanie do 3 plików (nie więcej niż 1 MB) i ich odszyfrowanie za darmo. W ten sposób cyberprzestępcy do pewnego stopnia udowadniają swoje umiejętności deszyfrowania oraz swoją wiarygodność. Ponadto, jeśli skontaktujesz się z szantażystami w ciągu podanych 3 dni, cyberprzestępcy zapewnią 50% zniżki na cenę odszyfrowania. Jeśli nie zmieścisz się w tym terminie, programiści Rook zaczną wyciekać twoje pliki do swojej sieci, aby później nadużywać ich na stronach Darknet. Mówią też, że żadne instrumenty innych firm nie pomogą ci odzyskać plików.