Ransomware

Wierzba szyfruje dane osobowe za pomocą szyfrów kryptograficznych, zmienia rozszerzenia plików na .wierzba i żąda zapłaty 500 $ za zresetowanie przypisanych zmian. Wszystkie te cechy klasyfikują go jako ransomware. Próbka zaszyfrowanych danych wyglądałaby mniej więcej tak 1.pdf.willow. Pliki utracą również swoje oryginalne ikony skrótów. Willow Ransomware zmienia również tapety pulpitu i tworzy PRZECZYTAJPROSZĘ.txt notatka tekstowa. Zarówno tapety, jak i notatka tekstowa wyświetlają te same instrukcje dotyczące okupu, których ofiary powinny przestrzegać, aby odzyskać dane. Mówi się, że ofiary powinny zapłacić 500 $ w BTC na załączony adres Bitcoin, chyba że chcą utracić swoje pliki na zawsze. Wspomniano również, że deszyfratory stron trzecich nie będą w stanie usunąć szyfrów zastosowanych do plików przez Willow. Niestety to nic, ale prawda, ponieważ wiele infekcji ransomware wykorzystuje wysokiej jakości algorytmy szyfrowania i przechowuje swoje klucze na serwerach online. Z tego powodu ręczne odszyfrowanie bardzo często wydaje się niemożliwe. Nie zalecamy płacenia wymaganego okupu, ponieważ istnieje ryzyko, że ostatecznie zostaniesz oszukany. Szantażyści słyną z tego, że porzucają swoje ofiary i nie wysyłają żadnych narzędzi deszyfrujących nawet po otrzymaniu pieniędzy.

Mallox to nazwa wirusa ransomware zdolnego do zaszyfrowania wszystkich cennych danych przechowywanych na komputerze. Narzędzie do szyfrowania plików wykorzystuje silne algorytmy szyfrowania do przypisywania unikalnych szyfrów i blokowania dalszego dostępu do danych. Dołącza również nowe .mallox rozszerzenie mające na celu podkreślenie zablokowanych danych. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.mallox i zresetuj jego oryginalną ikonę. Należy pamiętać, że usunięcie .mallox rozszerzenie nie pomoże ci otworzyć pliku, dopóki jest on zaszyfrowany. Po pomyślnym zaszyfrowaniu wirus otwiera się i umieszcza notatkę tekstową o nazwie INFORMACJE O ODZYSKIWANIU.txt na twój pulpit, który zawiera instrukcje dotyczące okupu. Plik mówi, że tylko unikalne oprogramowanie deszyfrujące będzie mogło uzyskać dostęp do twoich danych. Aby go zdobyć, użytkownicy powinni wysłać list e-mail ze swoim osobistym identyfikatorem do cyberprzestępców. Następnie ofiary otrzymają dalsze instrukcje dotyczące zakupu narzędzia deszyfrującego. Wspomniano również, że istnieje możliwość przetestowania darmowego odszyfrowywania plików poprzez wysłanie kilku zaszyfrowanych próbek, które nie zawierają wartościowych danych. Zanim zaczniesz myśleć o opcjach odzyskiwania, musimy poinformować Cię o ryzyku zapłacenia okupu. Wielu cyberprzestępców oszukuje swoje ofiary i nie wysyła żadnych narzędzi deszyfrujących nawet po otrzymaniu pieniędzy.

Znany także jako Hakbit, Thanos to grupa ransomware, która rozwija szereg infekcji szyfrujących pliki. Po raz pierwszy został odkryty przez GrujaRS, niezależnego badacza bezpieczeństwa specjalizującego się w oprogramowaniu ransomware. Wirus ma dość długie drzewo genealogiczne z wieloma różnymi wersjami wykorzystującymi algorytmy AES do uruchamiania szyfrowania plików. Każdy z nich posiada osobne rozszerzenie, które jest przypisane do zaszyfrowanych danych. Najnowsze są steriok, .cyber, .kryształ. Jeśli zauważyłeś zmianę ikon skrótów wraz z rozszerzeniami, oznacza to, że twoje pliki zostały pomyślnie zaszyfrowane. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.steriok, 1.pdf.cyber, 1.pdf.crystal lub podobnie, w zależności od tego, która wersja przeniknęła do twojego systemu. Po zaszyfrowaniu Thanos tworzy albo HOW_TO_DECYPHER_FILES.txt, HELP_ME_RECOVER_MY_FILES.txt or RESTORE_FILES_INFO.txt pliki tekstowe. Są to nazwy listów z żądaniem okupu zawierających instrukcje, jak odzyskać swoje dane.

Powiększenie to program ransomware, który uruchamia szyfrowanie danych w celu zażądania pieniędzy za ich odzyskanie. Podczas szyfrowania plików Zoom używa silnych algorytmów matematycznych wraz z .zoom rozszerzenie, które jest dołączane do wizualnej zmiany plików. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.zoom i zresetuje domyślną ikonę skrótu. To samo będzie widoczne we wszystkich innych danych, na które atakuje Zoom Ransomware. Po zakończeniu szyfrowania Zoom zmienia tapety pulpitu i tworzy plik odzyskaj wszystkie pliki.txt plik zawierający instrukcje dotyczące okupu.

CryptoJoker to rodzina oprogramowania ransomware, która co roku wypuszcza każdy nowy program do szyfrowania plików. Podobnie jak inne infekcje ransomware, CryptoJocker dąży do zaszyfrowania potencjalnie cennych danych (np. zdjęć, filmów, muzyki, dokumentów, baz danych itp.), aby zażądać pieniędzy za ich całkowity zwrot. W zależności od tego, która wersja zaatakowała twój system, zaszyfrowane pliki zostaną opatrzone jednym z następujących rozszerzeń - .encrypter@tuta.io.zaszyfrowane, .krjoker, .kryptolokator, .kryptoNar, .kryptolokator, .Nie płacz, devos, devoscpu. Często towarzyszą im .w pełni i .w części sufiksy, które mają oznaczać, że niektóre pliki są w pełni lub częściowo zaszyfrowane. Na przykład plik taki jak 1.pdf może zmienić na 1.pdf.crjoker, 1.pdf.encrypter@tuta.io.encrypted, i tak dalej. Różne wersje CryptoJocker wykorzystywały różne formaty prezentacji instrukcji dotyczących okupu. Niektóre wyświetlają interaktywne okno, podczas gdy inne tworzą osobne notatki tekstowe.

Odkryta przez naukowca o imieniu S!Ri, Foxxy to złośliwy program należący do kategorii złośliwego oprogramowania znanego jako ransomware. Jego głównym celem jest szyfrowanie danych osobowych i żądanie pieniędzy za ich odzyskanie. W momencie, gdy Foxxy zacznie szyfrować dane, wszystkie pliki otrzymają nowy Foxxy rozszerzenie i zresetuj ich ikony skrótów. Tak wygląda zaszyfrowany plik 1.pdf wreszcie będzie wyglądać - 1.pdf.foxxy. Następnie, zaraz po zakończeniu procesu szyfrowania, wirus wyświetla okno pełnoekranowe i tworzy notatkę tekstową o nazwie ___ODZYSKAJ__PLIKI__.foxxy.txt. Oba zawierają instrukcje dotyczące okupu w celu odzyskania danych. Możesz sprawdzić pełną treść obu żądań okupu poniżej:

Udacha to wirus ransomware, który szyfruje dane za pomocą algorytmów AES+RSA i żąda zapłaty 490 $ (0.013 BTC) w celu ich zwrotu. Ta informacja jest widoczna wewnątrz ReadMe_Instruction.mht plik, który jest tworzony po zaszyfrowaniu, wprowadza ostatnie poprawki do danych. Wcześniej jednak użytkownicy zobaczą, że ich pliki zostały zmienione za pomocą .udacha rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.udacha i zresetuj jego ikonę skrótu. Poniżej możesz zobaczyć pełne informacje, które są zapisane w żądaniu okupu.

PROJEKT GABUTY to wirus ransomware, który szyfruje dane przechowywane w systemie, aby wyłudzić pieniądze za ich zwrot. Czyni to poprzez dołączenie .wróciłem rozszerzenie do każdego zmodyfikowanego pliku. Pliki takie jak muzyka, filmy, zdjęcia i dokumenty otrzymają nowe rozszerzenie i zresetują swoje oryginalne ikony skrótów. Oto przykład, jak będą wyglądać zaszyfrowane pliki - 1.pdf.im back; 1.mp4.im back; 1.png.im back, 1.docx.im back, i tak dalej. Następnie wirus wyświetla okno pop-up i tworzy plik „gabuts project is back.txt” zawierający instrukcje żądania okupu. Tekst jest napisany w pierwszej osobie z prośbą o przesłanie 100 BTC w celu odszyfrowania danych. To jest dokładnie cena, jaką ofiary powinny wysłać, aby odzyskać dane. Wspomniano również, że płatność ta musi zostać dokonana w ciągu 1 dnia po zakażeniu. Aby rozpocząć komunikację, ofiary powinny napisać na przypięty adres e-mail. Zgodnie z tekstem istnieje również opcja odszyfrowania 1 pliku poprzez dostęp do łącza Tor. Niestety nikt nie zapłaci ceny 100 Bitcoinów (5,712,670 XNUMX XNUMX $), chyba że jest to duża korporacja, która utraciła niezwykle ważne dane.