Ransomware

Delta Plusa to wirus typu ransomware, który wykorzystuje algorytmy kryptograficzne do szyfrowania danych osobowych. Przypisuje silne szyfry, które są trudne do odszyfrowania bez specjalnych narzędzi deszyfrujących posiadanych przez samych cyberprzestępców. Aby kupić te narzędzia, ofiary są proszone o przesłanie równowartości 6,000 USD w BTC na adres kryptograficzny. Cena za odszyfrowanie może również zostać obniżona do 3,000 USD, jeśli uda ci się dokonać płatności w ciągu pierwszych 72 godzin po zainfekowaniu. Wszystkie te informacje są ujawnione wewnątrz notatki tekstowej o nazwie Pomóż przywrócić pliki.txt, który jest tworzony zaraz po zakończeniu szyfrowania plików. Delta Plus dołącza .delta rozszerzenie do wszystkich plików, których dotyczy problem. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.delta i utracić swoją pierwotną ikonę. Po tych zmianach użytkownicy nie będą już mogli uzyskać dostępu do swoich plików, dopóki nie zapłacą wymaganego okupu.

Odkryty przez Tomasa Meskauskasa, Koxic jest określany jako infekcja ransomware, która działa poprzez szyfrowanie danych przechowywanych na komputerze. Innymi słowy, większość plików, takich jak zdjęcia, filmy, muzyka i dokumenty, zostanie zablokowana przez wirusa, aby uniemożliwić użytkownikom dostęp do nich. Wszystkie zaszyfrowane pliki również otrzymują nowe .KOXIC or .KOXIC_PLCAW rozszerzenia. Oznacza to zaszyfrowane pliki, takie jak 1.pdf zmieni się na 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Ten sam wzorzec zostanie zastosowany do pozostałych danych zaszyfrowanych przez oprogramowanie ransomware. Po załatwieniu sprawy z szyfrowaniem wirus tworzy notatkę tekstową wyjaśniającą instrukcje dotyczące okupu. Te instrukcje stanowią, że ofiary powinny skontaktować się z programistami za pośrednictwem koxic@cock.li or koxic@protonmail.com e-maile z osobistym identyfikatorem. Identyfikator ten można znaleźć w załączniku do żądania okupu. Jeśli nie ma takiego bytu, istnieje szansa, że ​​jakaś wersja Koxic Ransomware, która przeniknęła do twojego systemu, jest nadal w fazie rozwoju i testów.

Porno jest klasyfikowany jako infekcja ransomware, której celem jest szyfrowanie danych osobowych. Pliki takie jak zdjęcia, dokumenty, muzyka i filmy najprawdopodobniej będą szyfrowane przez Porn Ransomware. Aby odróżnić zaszyfrowane pliki od zwykłych, programiści przypisują rozszerzenie .porno rozszerzenie do każdej zainfekowanej próbki. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.porn i zresetuj jego oryginalną ikonę. Następnie wirus zaczyna żądać tak zwanego okupu za odzyskanie danych. Informacje te można zobaczyć w wyróżnionym wyskakującym oknie lub notatce tekstowej o nazwie RECUPERAR__.porn.txt. Wewnątrz tej notatki i wyskakującego okienka cyberprzestępcy wyświetlają liczbę plików, które odszyfrowali. Aby usunąć przypisane szyfry, programiści Porn proszą ofiary o wysłanie 1 BTC na załączony adres kryptograficzny, a następnie e-mail z identyfikatorem transakcji. Niestety niewiele ofiar może sobie pozwolić na zapłacenie ceny 1 BTC (42,000 XNUMX USD).

Czarny bajt to nazwa szafki na dane, która szyfruje pliki przechowywane na urządzeniu. Takie złośliwe oprogramowanie jest bardziej znane jako ransomware, ponieważ wyłudza pieniądze od ofiar w celu odzyskania danych. Chociaż BlackByte jest nowy i mało obserwowany, istnieje wystarczająco dużo szczegółów, aby odróżnić go od innych infekcji. Jednym z nich jest tzw .czarnybajt rozszerzenie dołączane do każdego zaszyfrowanego pliku. Na przykład taki kawałek 1.pdf zmieni rozszerzenie na 1.pdf.blackbyte i zresetuj oryginalną ikonę. Następnym krokiem po zaszyfrowaniu wszystkich dostępnych danych jest utworzenie żądania okupu. BlackByte generuje BlackByte_restoremyfiles.hta plik, który wyświetla szczegóły odzyskiwania. Wewnątrz ofiary są instruowane, aby skontaktowały się z cyberprzestępcami za pośrednictwem poczty e-mail. Ta czynność jest obowiązkowa, aby otrzymać dalsze instrukcje dotyczące zakupu deszyfratora plików. Ten deszyfrator jest unikalny i posiadany tylko przez cyberprzestępców. Cena okupu może się różnić w zależności od osoby, osiągając setki dolarów. Pamiętaj, że zapłacenie okupu zawsze wiąże się z ryzykiem utraty pieniędzy na darmo. Wielu szantażystów ma tendencję do oszukiwania swoich ofiar i nie wysyłania żadnych narzędzi deszyfrujących nawet po otrzymaniu żądanych pieniędzy. Niestety, nie ma deszyfratorów innych firm, które mogą zagwarantować 100% odszyfrowanie plików BlackByte.

Ranion to grupa złośliwego oprogramowania, która rozwija i rozprzestrzenia infekcje ransomware. Jego najnowsza wersja nosi nazwę R44s i szyfruje dane przy użyciu silnych algorytmów kryptograficznych, a następnie żąda pieniędzy za ich odkupienie. Ofiary mogą zauważyć, że ich pliki zostały zaszyfrowane za pomocą środków wizualnych. Użyto pierwszych wersji Ranion Ransomware wykrytych w listopadzie 2017 r .okup rozbudowa. Teraz wirus przypisuje równinę .r44s rozszerzenie na wszystkie skompromitowane elementy. Oto krótki przykład tego, jak pliki będą wyglądać po pomyślnym zaszyfrowaniu - 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44s, i tak dalej, w zależności od oryginalnej nazwy pliku. Zaraz po zakończeniu tego procesu szyfrowania R44s tworzy plik HTML o nazwie README_TO_DECRYPT_FILES.html.

Odkryty przez badacza złośliwego oprogramowania o nazwie S!Ri, Artemis należy do rodziny ransomware PewPew. Oszustwa stojące za tą rodziną rozprzestrzeniły szereg infekcji wysokiego ryzyka, które uruchamiają szyfrowanie danych. Artemis to najnowszy wariant narzędzia do szyfrowania plików, który odcina dostęp do większości przechowywanych danych za pomocą wielowarstwowych algorytmów kryptograficznych. Algorytmy te sprawiają, że dane są dokładnie szyfrowane, co uniemożliwia użytkownikom ich otwarcie. Poza tym zaszyfrowane pliki zablokowane przez Artemis również ulegają zmianie wizualnej. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis i zresetuj jego oryginalną ikonę. Ten ciąg składa się z identyfikatora ofiary, khalate@tutanota.com adres e-mail i Artemida rozszerzenie na koniec. Następnie, gdy tylko szyfrowanie dobiegnie końca, Artemis wyświetli monit info-deszyfruj.hta pojawiać się na całym ekranie. Najnowsze wersje złośliwego oprogramowania Przeczytaj mnie-[identyfikator_ofiary].txt nazwa i użycie żądania okupu .ostateczny i .999 rozszerzenia (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate oraz 1.pdf.id[identyfikator_ofiary].[restoredisscus@gmail.com].999).

Dzień dobry to złośliwy program sklasyfikowany jako ransomware. Jego głównym celem jest zarabianie pieniędzy na ofiarach, których dane zostały zaszyfrowane silnymi szyframi. Zazwyczaj ofiary dowiadują się o infekcji po tym, jak GoodMorning przypisuje nowe złożone rozszerzenie do zaatakowanych plików (kończące się na .Dzień dobry, .ZABLOKOWANY or .PRAWDZIWY). Na przykład, 1.pdf i inne pliki przechowywane w systemie zostaną zmienione na ten wzorzec 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Identyfikator wewnątrz rozszerzeń będzie się różnił indywidualnie, ponieważ jest unikalny dla każdej ofiary. Następnie, gdy wszystkie pliki zostaną zaszyfrowane i wizualnie zmienione, wirus tworzy notatki tekstowe o nazwie albo Dzień dobry.txt, Odczyt.txt or ReadMe.txt. Ma on na celu wyjaśnienie szerszych instrukcji dotyczących odzyskiwania danych.

Zapłać to program ransomware, który infekuje systemy Windows w celu zaszyfrowania danych osobowych. Wpływa to na konfigurację przechowywanych plików, czyniąc je całkowicie niedostępnymi. Oznacza to, że wszelkie próby otwarcia plików zostaną odrzucone z powodu szyfrowania. Oprócz zmian w konfiguracji, Pagar Ransomware modyfikuje dane również za pomocą środków wizualnych - przypisując pagar40br@gmail.com rozszerzenie do każdego zaszyfrowanego pliku. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.pagar40br@gmail.com i zresetuj pierwotną ikonę do pustej. Po tym, jak wszystkie pliki zostaną zaszyfrowane, Pagar tworzy żądanie okupu o nazwie Pilne powiadomienie.txt, który wyjaśnia, jak odzyskać dane. Twórcy ransomware są zwięźli i mówią, że masz 72 godziny na wysłanie 0.035 BTC do załączonego portfela. Zaraz po dokonaniu płatności ofiary powinny skontaktować się z programistami za pośrednictwem pagar40br@gmail.com, podając własny adres portfela i unikalny identyfikator (zapisany w notatce). Niestety, nie ma żadnych informacji na temat tego, czy programistom Pagar można zaufać.