Ransomware

Boskość, Matafaka i Army to trzy infekcje ransomware wprowadzone przez grupę programistów znaną jako Xorist. Po pomyślnym zainfekowaniu systemu wirus wymusza zmianę nazw większości przechowywanych plików. W zależności od tego, która wersja zaatakowała Twój komputer, dowolny plik obrazu, wideo, muzyki lub dokumentu 1.pdf zmieni się na 1.pdf.divinity, 1.pdf.matafakalub 1.pdf.army. Po wizualnej zmianie każdego pliku wyżej wymienione wersje wyświetlają wiadomość tekstową w wyskakujących oknach lub plikach notatnika (HOW TO DECRYPT FILES.txt). Tekst jest inny dla każdej wersji. Aby to zilustrować, Matafaka i Army nie pokazują prawie żadnych informacji na temat odszyfrowywania danych. Wspominają, że twój komputer został zhakowany, ale nie dostarczają żadnych informacji ani instrukcji płatności, aby przywrócić dane. Powodem tego może być to, że te wersje są nadal w fazie rozwoju i testowania. Nie wykluczone, że w sieci krążą już kompletne wersje z pełnoprawnymi instrukcjami. Divinity to jedyna wersja z listy, która ma dane kontaktowe do zapłacenia okupu. W tym celu użytkownicy proszeni są o napisanie bezpośredniej wiadomości do @lulzed Telegram lub @dissimilate na Twitterze. Należy zauważyć, że rodzina Xorist Ransomware wykorzystuje algorytmy XOR i TEA do szyfrowania danych osobowych. Odszyfrowanie danych za pomocą takich szyfrów jest mniej prawdopodobne bez udziału cyberprzestępców. Mimo to wyraźnie odradza się spełnianie żądań fałszywych danych.

Herco jest sklasyfikowany jako złośliwy program ransomware. Szkodliwe oprogramowanie tego typu wyszukuje ważne dane przechowywane na komputerze i blokuje dostęp do nich za pomocą algorytmów kryptograficznych. Głównym celem programistów Herrco są właściciele firm, którzy zarabiają podobno wystarczająco dużo pieniędzy, aby zapłacić za odszyfrowanie plików. Szantażyści stojący za Herrco Ransomware konfigurują swoje oprogramowanie, aby zmieniać wszystkie istotne dane za pomocą .herrco rozbudowa. Na przykład plik o nazwie 1.pdf zmieni swój wygląd na 1.pdf.herrco na koniec szyfrowania. Po takiej zmianie następuje zatem utworzenie Jak odszyfrować plik files.txt. Jest to plik tekstowy mający na celu szczegółowe wyjaśnienie procesu deszyfrowania. Mówi się, że jedynym sposobem na odzyskanie danych w zainfekowanej sieci jest skontaktowanie się z programistami i zapłacenie tak zwanego okupu. Cena jest utrzymywana w tajemnicy i zależy od tego, jak szybko dotrzesz do cyberprzestępców. Aby rozpocząć rozmowę z cyberprzestępcami, ofiary są proszone o otwarcie łącza Tor i podanie swojego osobistego identyfikatora, który znajduje się na górze żądania okupu. Przed zrobieniem tego proponuje się również wysłanie kilku plików, które nie zawierają cennych informacji do bezpłatnego odszyfrowania.

Keversena to wirus typu ransomware, którego celem jest silne szyfrowanie danych. Ma to na celu nakłonienie ofiar do zapłacenia tak zwanego okupu w celu odszyfrowania zablokowanych plików. Wszystkie instrukcje dotyczące procesu odzyskiwania zostaną ujawnione po zaszyfrowaniu plików. Wirus Keversen zmienia nazwy szerokiego zakresu danych osobowych (zdjęć, filmów, dokumentów, baz danych itp.) na .keversen rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.keversen zaraz po szyfrowaniu. Wszystko to dzieje się w mgnieniu oka, więc nie ma sposobu, aby temu zapobiec, chyba że masz zainstalowany specjalny program anty-ransomware. Następnie, zaraz po zakończeniu tego etapu infekcji, Keversen Ransomware przechodzi do tworzenia !=GOTOWY=!.txt uwaga, która rzuca kilka słów na temat odzyskiwania danych.

Inf jest przykładem infekcji ransomware, która szyfruje różnego rodzaju dane osobowe przechowywane w systemie. Po oficjalnym zakończeniu tego procesu ofiary nie będą już mogły uzyskać dostępu do swoich danych. Infa Ransomware przypisuje jedno wspólne rozszerzenie (.inf) do wszystkich skompromitowanych plików. Oznacza to plik podobny do 1.pdf zostanie zmieniony na 1.pdf.infa lub podobnie w zależności od pierwotnej nazwy. Zaraz po zmianie nazwy wszystkich plików wirus wymusza napisanie notatki tekstowej o nazwie czytaj teraz.txt upuścić na pulpit. Zawiera ogólne informacje o tym, jak odzyskać dane. Jak stwierdzono w notatce, pliki takie jak zdjęcia, filmy, dokumenty i inne formaty zostały zaszyfrowane. Aby usunąć dołączone szyfry, ofiary powinny skontaktować się z cyberprzestępcami (za pośrednictwem stevegabriel2000@gmail.com) i kup specjalny klucz deszyfrujący. Cena wynosi 0.0022 BTC, czyli około 95 $ w czasie, gdy piszemy ten artykuł. Wspomniano również, że na odszyfrowanie plików przydzielono 2 dni. Jeśli nie dokonasz płatności na czas, Twoje pliki zostaną usunięte z systemu. Wybór zapłaty za odszyfrowanie zależy od twojej własnej decyzji.

MedusaLocker jest jednym z największych agregatorów ransomware, który rozprzestrzenia szereg infekcji złośliwym oprogramowaniem. Podobnie jak inne programy ransomware, wirus ma na celu szyfrowanie danych przechowywanych na komputerze i żądanie okupu pieniężnego w zamian za oprogramowanie deszyfrujące. .krlock, .L54, .kiedykolwiek101 to najnowsze wersje opublikowane przez MedusaLocker Ransomware. Są to również rozszerzenia przypisane do każdego skompromitowanego elementu. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.krlock, 1.pdf.L54lub 1.ever101 w zależności od tego, która wersja zhakowała twój system. Nie ma prawdziwej różnicy w tym, która wersja rzuciła się na twoją sieć. Wszystkie używają kombinacji algorytmów AES i RSA do zapisywania bezpiecznych szyfrów na danych. Jedynym aspektem, który się zmienia, są notatki tekstowe z żądaniem okupu utworzone po zakończeniu szyfrowania. Chociaż treść może się różnić, ale nadal zawiera mniej więcej tę samą wiadomość dla zainfekowanych ofiar. Możesz spotkać się z żądaniem okupu o nazwie Recovery_Instructions.html, HOW_TO_RECOVER_DATA.htmllub podobne prowadzące do stron przeglądarki.

Jadowity to wirus typu ransomware, który blokuje większość przechowywanych danych i żąda tak zwanego okupu, aby je odzyskać. Ten proces jest bardziej znany jako szyfrowanie plików, ponieważ istnieją szyfry kryptograficzne stosowane przez złośliwe oprogramowanie za pomocą algorytmów AES-256. Oprócz szyfrowania plików na poziomie konfiguracji, Venomous zmienia je również wizualnie. Łączy w sobie oryginalne nazwy plików, identyfikatory ofiar i .jadowity rozszerzenie do zmiany nazwy zagrożonych danych. Na przykład plik taki jak „1.pdf” pojawi się jako 1.pdf.FB5MMSJUD2WP.venomous na koniec szyfrowania. Wkrótce potem Venomous przechodzi do tworzenia pliku tekstowego o nazwie PRZEPRASZAM ZA PLIKI.txt który przechowuje instrukcje deszyfrowania. Notatka stwierdza, że ​​wszystkie dane przechowywane w twoim systemie zostały zainfekowane silnymi algorytmami. Ostrzega się również, aby nie zmieniać nazw ani nie edytować zaszyfrowanych plików, ponieważ może to spowodować ich uszkodzenie. Aby zapewnić gwarantowane i wolne od uszkodzeń odzyskanie danych, ofiarom proponuje się zakup kluczy deszyfrujących przechowywanych przez cyberprzestępców. W tym celu użytkownicy powinni wysłać swój osobisty identyfikator do @venomous_support za pośrednictwem aplikacji Telegram lub skontaktować się z szantażystami za pomocą jadowity.files@tutanota.com adres e-mail. Ponadto proponuje się przetestowanie bezpłatnego odszyfrowania przed zapłaceniem okupu. Aby to zrobić, ofiary są kierowane do otwarcia łącza Tor dołączonego do notatki i przesłania 1 zaszyfrowanej próbki danych.

Bycie częścią Dharma Ransomware rodzina, Dharma-TOR to kolejny szkodliwy program, który szyfruje dane osobowe. Popełniając ten czyn, programiści zmuszają ofiary do zapłacenia tak zwanego okupu. Pierwszą oznaką infekowania twojego systemu przez Dharma-Tor są nowe rozszerzenia plików. Cyberprzestępcy przypisują ofierze osobisty identyfikator, adres kontaktowy i .SŁUP rozszerzenie na koniec każdego pliku. Na przykład, 1.pdf lub inne pliki przechowywane w twoim systemie otrzymają nowy wygląd 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, lub coś podobnego. Wkrótce po tym, jak wszystkie dane zostaną pomyślnie zmienione, Dharma-TOR zawiera wyskakujące okienko wraz z plikiem tekstowym o nazwie FILES ENCRYPTED.txt, który jest upuszczony na pulpit. Zarówno wyskakujące okienko, jak i notatka tekstowa mają na celu instruowanie ofiar przez proces odzyskiwania. Mówi się, że użytkownicy powinni kontaktować się z programistami za pośrednictwem adresu e-mail podanego w rozszerzeniu wraz z ich osobistym identyfikatorem. W przypadku braku odpowiedzi ofiary są kierowane do wyboru innego adresu e-mail załączonego w wiadomości. Po nawiązaniu udanego kontaktu z cyberprzestępcami użytkownicy prawdopodobnie otrzymają instrukcje zapłaty za zakup odszyfrowywania danych.

Użytkownicy zainfekowani Makop Ransomware zobaczą, że ich dane są zablokowane przed regularnym dostępem i zmienione za pomocą środków wizualnych. Istnieją różne wersje używane przez programistów Makop do rozprzestrzeniania się na ofiarach. Jedyna prawdziwa różnica między nimi polega na różnych rozszerzeniach i adresach e-mail (.hinduizm, gamigin, .dev0, itp.) używane do zmiany nazw zaszyfrowanych plików. Resztę można opisać jako czystą replikację poprzednich wersji Makopa za pomocą szablonu. Gdy ten wirus dostanie się do komputera, prawie wszystkie dostępne dane zostaną przypisane do unikalnego identyfikatora ofiary, kontaktowego adresu e-mail i losowego rozszerzenia, w zależności od wersji, która zaatakowała twój system. Na przykład plik taki jak 1.pdf zmieni się na coś takiego 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduismlub podobnie z innymi rozszerzeniami, takimi jak .gamigin, .dev0 lub .makop. Wkrótce po zakończeniu tej części szyfrowania wirus upuszcza notatkę tekstową o nazwie plik readme-warning.txt do każdego folderu zawierającego naruszone dane. Notatka zawiera listę pytań i odpowiedzi wyjaśniających szczegóły odzyskiwania. Mówi się, że użytkownicy mają jedyny sposób na przywrócenie danych - zapłać za odszyfrowanie w Bitcoinach. Dyspozycję płatności uzyskamy dopiero po nawiązaniu kontaktu e-mailowego (hinduizm0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.iolub inny adres). Podobnie rozszerzenia, adresy kontaktowe są częścią równania różniącą się w zależności od osoby.