Ransomware

SUPERSUSO to program ransomware, który wykorzystuje silne algorytmy szyfrowania, aby uniemożliwić użytkownikom dostęp do ich własnych danych. Taka zmiana ma na celu zachęcenie ludzi do zapłacenia tak zwanego okupu za odzyskanie zaszyfrowanych plików. Ofiary dowiedzą się o szyfrowaniu plików dzięki nowym przypisanym im rozszerzeniom. Programiści SUPERSUSO używają .ICQ_SUPERSUSO rozszerzenie, aby zmienić nazwę wszystkich zablokowanych danych. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.ICQ_SUPERSUSO i zresetuj jego oryginalną ikonę. To samo zostanie zastosowane do wszystkich danych zablokowanych w twoim systemie. Następnie SUPERSUSO wydaje plik tekstowy o nazwie #Odszyfruj#.txt wyjaśnić instrukcje odzyskiwania. Na początku ofiary są proszone o zainstalowanie oprogramowania ICQ na PC, Androida lub IOS i napisanie na adres odbiorcy cyberprzestępców, który jest podany w wiadomości. ICQ to niezawodny i legalny komunikator wykorzystywany przez cyberprzestępców do nawiązywania anonimowej komunikacji ze swoimi ofiarami. Jeśli ofiary nie skontaktują się z programistami w ciągu 72 godzin, skompromitowane informacje zostaną zebrane i ujawnione na rynkach Darknet.

Szasza to nazwa wirusa ransomware, który szyfruje i zmienia dane za pomocą .szasza rozbudowa. Nowe rozszerzenie nie jest istotną częścią szyfrowania, ale aspektem wizualnym mającym na celu podkreślenie zablokowanych danych. Jeśli widzisz to rozszerzenie przypisane do większości danych w ten sposób 1.pdf.shasha, to niewątpliwie jesteś zainfekowany ransomware. Następnym krokiem programisty po zablokowaniu dostępu do plików jest wyjaśnienie, jak je odzyskać. W tym celu cyberprzestępcy odpowiedzialni za wirusa Shasha tworzą notatkę tekstową o nazwie READ_ME.txt i zmień tapety pulpitu. Wewnątrz tej notatki szantażyści twierdzą, że są jedynymi postaciami, które mogą odszyfrować twoje pliki. Mówiąc dokładniej, to oni trzymają klucze prywatne i oprogramowanie deszyfrujące, które może odblokować dane. Ofiary proszone są o kupienie go za 50 $ w BTC. Płatność należy przesłać na adres Bitcoin podany w notatce. Niestety, nie jest pewne, w jaki sposób cyberprzestępcy wyślą ci zakupione oprogramowanie deszyfrujące.

Zwykły Okup jest klasyfikowany jako wirus ransomware, który szyfruje dane przechowywane na zainfekowanych urządzeniach w celu żądania zapłaty za ich zwrot. Ta wersja została odkryta przez badacza złośliwego oprogramowania o nazwie Michaela Gillepsiego. Podobnie jak wiele infekcji ransomware, CommonRansom przypisuje własne rozszerzenie, aby podświetlić zablokowane dane. Wszystkie dane, które zostały zaszyfrowane przez CommonRansom, zmienią się tak, jak ten plik tutaj - 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. Po tym, jeszcze jedną rzeczą do zainicjowania przez wirusa jest utworzenie listu z żądaniem okupu. Nazwa notatki to ODSZYFROWANIE.txt i jest umieszczany w każdym folderze z zainfekowanymi plikami. Ta notatka mówi, że ofiary mają 12 godzin do przodu, aby poprosić o odszyfrowanie danych, w przeciwnym razie nie będzie już szansy na ich zwrot. Istnieje również szablon, z którego należy korzystać, kontaktując się z cyberprzestępcami za pomocą ich adresu e-mail. Załączony szablon jest w rzeczywistości bardzo podejrzany, ponieważ prosi ofiary o wpisanie portu RDP ich komputera, nazwy użytkownika wraz z hasłem używanym do logowania się do systemu oraz czasu, w którym zapłaciłeś 0.1 BTC na wskazany adres kryptograficzny.

Gyjeb to wirus ransomware, który uruchamia szyfrowanie danych w celu wyłudzenia pieniędzy od ofiar. Wygląda bardzo podobnie do Keq4p Ransomware, co oznacza, że ​​prawdopodobnie pochodzą z tej samej rodziny złośliwego oprogramowania. Tak jak Keq4p, Gyjeb Ransomware przypisuje losowy ciąg bezsensownych symboli wraz ze swoimi własnymi gyjeb rozbudowa. Aby to zilustrować, plik taki jak „1.pdf” zmieni swój wygląd na podobny 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb i zresetuj jego oryginalną ikonę. Po tym, jak wszystkie pliki zostaną edytowane w ten sposób, wirus tworzy notatkę tekstową o nazwie nTLA_HOW_TO_DECRYPT.txt co pociąga za sobą instrukcje deszyfrowania. Możesz zapoznać się z tą notatką na poniższym zrzucie ekranu.

Keq4p to infekcja ransomware, która szyfruje dane osobowe za pomocą algorytmów kryptograficznych. Algorytmy te zapewniają silną ochronę danych przed próbami ich odszyfrowania. Pliki atakowane przez oprogramowanie ransomware to zazwyczaj zdjęcia, filmy, muzyka, dokumenty i inne rodzaje danych, które mogą mieć pewną wartość. Większość programów do szyfrowania plików zmienia wszystkie pliki, których dotyczy problem, przypisując własne rozszerzenie. Keq4p robi dokładnie to samo, ale dołącza również losowy ciąg symboli. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p lub podobne. Przypisany ciąg jest całkowicie losowy i nie ma prawdziwego celu. Wraz ze zmianami wizualnymi Keq4p zamyka proces szyfrowania tworzeniem zB6F_HOW_TO_DECRYPT.txt, plik tekstowy zawierający instrukcje dotyczące okupu. Możesz przyjrzeć się bliżej temu, co zawiera na poniższym zrzucie ekranu.

Hydra to infekcja ransomware, która uniemożliwia dostęp do danych użytkowników poprzez dokładne szyfrowanie. Oprócz braku dostępu do danych, użytkownicy mogą również zauważyć pewne zmiany wizualne. Hydra przypisuje nowy ciąg symboli zawierający adresy e-mail cyberprzestępców, losowo wygenerowany identyfikator przypisany każdej ofierze oraz .HYDRA rozszerzenie na koniec. Aby to zilustrować, plik taki jak 1.pdf zmieni swój wygląd na [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA i zresetuj oryginalną ikonę do pustej. Gdy tylko wszystkie pliki zostaną zaszyfrowane, wirus wyświetla instrukcje żądające okupu, aby przeprowadzić ofiary przez proces odzyskiwania. Można to znaleźć wewnątrz #FILESENCRYPTED.txt notatka tekstowa, która jest tworzona po zaszyfrowaniu. Programiści Hydra twierdzą, że ofiary mogą przywrócić swoje pliki, pisząc na załączony adres e-mail (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). Następnie cyberprzestępcy powinni udzielić dalszych instrukcji zakupu odszyfrowywania plików.

Delta Plusa to wirus typu ransomware, który wykorzystuje algorytmy kryptograficzne do szyfrowania danych osobowych. Przypisuje silne szyfry, które są trudne do odszyfrowania bez specjalnych narzędzi deszyfrujących posiadanych przez samych cyberprzestępców. Aby kupić te narzędzia, ofiary są proszone o przesłanie równowartości 6,000 USD w BTC na adres kryptograficzny. Cena za odszyfrowanie może również zostać obniżona do 3,000 USD, jeśli uda ci się dokonać płatności w ciągu pierwszych 72 godzin po zainfekowaniu. Wszystkie te informacje są ujawnione wewnątrz notatki tekstowej o nazwie Pomóż przywrócić pliki.txt, który jest tworzony zaraz po zakończeniu szyfrowania plików. Delta Plus dołącza .delta rozszerzenie do wszystkich plików, których dotyczy problem. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.delta i utracić swoją pierwotną ikonę. Po tych zmianach użytkownicy nie będą już mogli uzyskać dostępu do swoich plików, dopóki nie zapłacą wymaganego okupu.

Odkryty przez Tomasa Meskauskasa, Koxic jest określany jako infekcja ransomware, która działa poprzez szyfrowanie danych przechowywanych na komputerze. Innymi słowy, większość plików, takich jak zdjęcia, filmy, muzyka i dokumenty, zostanie zablokowana przez wirusa, aby uniemożliwić użytkownikom dostęp do nich. Wszystkie zaszyfrowane pliki również otrzymują nowe .KOXIC or .KOXIC_PLCAW rozszerzenia. Oznacza to zaszyfrowane pliki, takie jak 1.pdf zmieni się na 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Ten sam wzorzec zostanie zastosowany do pozostałych danych zaszyfrowanych przez oprogramowanie ransomware. Po załatwieniu sprawy z szyfrowaniem wirus tworzy notatkę tekstową wyjaśniającą instrukcje dotyczące okupu. Te instrukcje stanowią, że ofiary powinny skontaktować się z programistami za pośrednictwem koxic@cock.li or koxic@protonmail.com e-maile z osobistym identyfikatorem. Identyfikator ten można znaleźć w załączniku do żądania okupu. Jeśli nie ma takiego bytu, istnieje szansa, że ​​jakaś wersja Koxic Ransomware, która przeniknęła do twojego systemu, jest nadal w fazie rozwoju i testów.