Ransomware

Nowa infekcja ransomware znana jako DEcovid19 pojawił się w sieci i spowodował wiele ataków na niezabezpieczone komputery. Wirus został zgłoszony 11 stycznia przez zdesperowane ofiary z zaszyfrowanymi danymi. Z aktualnych informacji jasno wynika, że ​​DEcovid19 blokuje dostęp do danych poprzez zmianę rozszerzeń plików na .COVID-19 or .zablokowany. Przykład oryginału 1.mp4 zainfekowane oprogramowaniem ransomware może pojawić się na dwa sposoby: albo jako 1.mp4.locked or 1.mp4.covid19. Po zakończeniu procesu szyfrowania szkodliwy program tworzy notatkę tekstową (!DECRYPT_FILES.txt or UWAGA!!!.txt) ma na celu wyjaśnienie instrukcji deszyfrowania. Wewnątrz użytkownicy mogą szybko przejrzeć informacje o wirusach. Kolejna część tekstu poświęcona jest przywracaniu Twoich danych. Mówi się, że użytkownicy kontaktują się z botem telegramowym, podając w temacie swój osobisty identyfikator i pisząc, ile komputerów należy odszyfrować. Konieczne jest również przesłanie 1-2 zaszyfrowanych plików, które nie zawierają ważnych informacji (mniej niż 2 MB), aby cyberprzestępcy mogli dopasować odpowiedni dekoder do Twoich danych. Ostatnią, ale nie mniej ważną kwestią, o której mówią oszuści, są granice czasowe - masz 72 godziny na podjęcie decyzji i zapłacenie za klucz odszyfrowywania.

Uczciwe oprogramowanie ransomware jest jednym z wielu niebezpiecznych elementów, które szyfrują dane osobowe. Należy do rodziny złośliwego oprogramowania znanego jako Makop, który rozwinął szereg podobnych infekcji. Gdy Fair Ransomware zaatakuje twój system, instaluje pewne skrypty, które blokują dostęp do wielu plików, przypisując unikalne rozszerzenia. Te rozszerzenia składają się z osobistego numeru identyfikacyjnego, sufiksu [fairexchange@qq.com] i .sprawiedliwy na końcu każdego pliku. Przykład oryginalnej próbki, w której wystąpiły te zmiany, wygląda następująco 1.mp4.[9B83AE23].[fairexchange@qq.com].fair. Podczas gdy dostęp do danych nie leży już w rękach użytkowników, szantażyści tworzą plik tekstowy o nazwie plik readme-warning.txt w każdym folderze zawierającym zaszyfrowane pliki. Wewnątrz tej notatki cyberprzestępcy krótko wyjaśniają zdezorientowanym ludziom, co stało się z ich komputerami. Następnie twórcy Fair Ransomware mówią, że aby odzyskać kontrolę nad danymi, należy kupić oprogramowanie deszyfrujące (w BTC). Oferują również udział w tak zwanym „sprawdzaniu gwarancji”, pozwalającym użytkownikom na odszyfrowanie 2 plików o ograniczonym rozmiarze za darmo. Niestety, chociaż takie sztuczki powinny usprawiedliwiać uczciwość oszustów, statystyki mówią coś przeciwnego.

Znany także jako WickrMe, Witaj Ransomware to niebezpieczny wirus, który szyfruje dane osobowe (zdjęcia, filmy, dokumenty itp.). Podobnie jak inne infekcje tego rodzaju, żąda również uiszczenia opłaty po zaszyfrowaniu. Jednak wcześniej Hello Ransomware zmienia twoje pliki na nowe .Witam rozbudowa. Żadne dodatkowe symbole nie są uwzględnione, więc Twoje pliki będą wyglądać tak 1.mp4.hello i podobnie. Następnie, po zakończeniu takich zmian, wirus tworzy notatkę tekstową (Przeczytaj mnie!!!.txt) zawierające instrukcje dotyczące okupu. W tym dokumencie użytkownicy są instruowani, aby kontaktować się z cyberprzestępcami za pośrednictwem załączonych wiadomości e-mail lub Wickr Me (prywatny komunikator). W związku z tym otrzymają listę kroków, które należy wykonać, aby dokonać płatności i odzyskać zaatakowane dane. Niestety, chociaż programiści ransomware są zwykle jedynymi postaciami, które mogą odszyfrować twoje dane, nie zalecamy wdrażania wymaganej płatności. W przeciwnym razie może się wydawać, że to strata pieniędzy, ponieważ nie ma gwarancji, że otrzymasz obiecane odszyfrowanie. Statystycznie oszuści ignorują użytkowników nawet po wykonaniu wszystkich kroków. Dlatego konieczne jest usunięcie Hello Ransomware ze swojego komputera, aby zapobiec dalszemu odszyfrowywaniu danych.

Dharma to rodzina ransomware uważana za największego twórcę infekcji ransomware. Znaleziono wiele wersji atakujących użytkowników za pomocą szyfrowania danych i wiadomości z żądaniem okupu. Jednak jedna z ostatnio zauważonych aktywnych wersji jest znana jako oprogramowanie ransomware YoAD. Podobnie jak podobne wirusy tego typu, przypisuje nowy .yoAD rozszerzenie o losowy identyfikator i adres e-mail cyberprzestępców do każdej porcji danych przechowywanych na zaatakowanym komputerze. Na przykład oryginalny plik, taki jak 1.mp4 przyjrzy się 1.mp4.id-C279F237.[yourfiles1@cock.li].yoADlub podobnie. Takie zmiany powodują, że Twoje pliki nie są już dostępne, ponieważ wszelkie próby ich zainicjowania zostaną odrzucone. Następnie, gdy proces ten dobiegnie końca, wirus wkracza, tworząc instrukcje tekstowe. Przedstawiono je w FILES ENCRYPTED.txt dokument bezpośrednio na pulpicie. Jak twierdzą szantażyści, jedynym sposobem na przywrócenie danych jest kontakt z nimi za pośrednictwem poczty elektronicznej. Następnie rzekomo dadzą ci portfel kryptowalutowy do wysyłania pieniędzy w Bitcoinach. Następnie otrzymasz niezbędne narzędzia do przywrócenia danych. Niestety ta metoda nie jest odpowiednia dla wszystkich, ponieważ kwoty żądane przez cyberprzestępców mogą być astronomicznie wysokie i trudne do zapłacenia.

Krypto-Locker Mijnał to infekcja typu ransomware, która szyfruje dane osobowe za pomocą algorytmów AES+RSA. Zastosowanie takiego szyfru sprawia, że ​​przypisany szyfr jest trudny do złamania tradycyjnymi metodami. Innymi słowy, gwarantuje, że po zablokowaniu danych nie nastąpi ręczne odszyfrowanie. Niestety, w większości przypadków wydaje się to wręcz niemożliwe, ale warto spróbować po przeczytaniu tego tekstu. Podobnie jak inne infekcje, Mijnal szyfruje twoje dane, zmieniając rozszerzenie pliku na .mijnal. Na przykład próbka taka jak „1.mp4” zostanie zmieniona na „1.mp4.mijnal” i przywrócona zostanie jej oryginalna ikona. Po zakończeniu procesu szyfrowania wirus tworzy notatkę tekstową o nazwie „README_LOCK.txt”, która zawiera instrukcje dotyczące wykorzystania. Informacje prezentowane w środku są napisane w języku rosyjskim, co oznacza, że ​​deweloperzy skupiają się głównie na regionach WNP. Jednak niektórzy anglojęzyczni użytkownicy również mogą mieć na to wpływ. Jeśli chcesz jak najszybciej odszyfrować swoje dane, cyberprzestępcy proszą ofiary o otwarcie załączonego łącza za pośrednictwem przeglądarki Tor i postępowanie zgodnie z instrukcjami. Wówczas szantażyści z większym prawdopodobieństwem poproszą Cię o zapłacenie określonej kwoty w bitcoinach, aby odzyskać dostęp do Twoich danych. Pomimo tego, że zapłacenie okupu jest zwykle jedyną metodą obejścia szyfrowania danych, odradzamy spełnianie jakichkolwiek próśb, ponieważ może to być również niebezpieczne dla Twojej kieszeni i prywatności.

Leitkcad jest czystym przykładem krypto-malware, które szyfruje dane osobowe w celu uzyskania tak zwanego okupu. Najbardziej jaskrawym symptomem wskazującym na obecność Leitkcada jest przydział .leitkcad rozbudowa. Innymi słowy, będzie widoczny na końcu każdego pliku dotkniętego złośliwym oprogramowaniem. Na przykład plik podobny do 1.mp4 zostanie zmieniony na 1.mp4.leitkcad i zresetuj jego oryginalną ikonę. Następnie, po zmianie wszystkich plików, wirus przechodzi do następnej fazy, tworząc notatkę o nazwie help-leitkcad.txt. Zawiera informacje na temat szyfrowania oraz instrukcje przywracania danych. Cyberprzestępcy twierdzą, że należy skontaktować się z operatorem i podać swój identyfikator, klucz osobisty oraz adres e-mail za pośrednictwem strony czatu. Link do niej można otworzyć tylko za pomocą przeglądarki Tor, którą ofiary muszą pobrać. Następnie, po nawiązaniu kontaktu z cyberprzestępcami, otrzymasz dalsze instrukcje dotyczące zakupu oprogramowania deszyfrującego. Warto również zauważyć, że ponowne uruchamianie i modyfikowanie zaszyfrowanych plików może prowadzić do trwałej utraty. Oszuści ustawiają pewne algorytmy, które pomagają im wykrywać Twoją aktywność. Oznacza to, że jeśli odmówisz zastosowania się do któregokolwiek z powyższych ostrzeżeń, Twoje pliki zostaną chwilowo usunięte.

Nowy kryptowirus znany jako LucyferCrypt wkroczył do gry kilka dni temu, aby zaszyfrować dane osobowe. Tak długo, jak trwa badanie, jest już oczywiste, że to oprogramowanie ransomware ogranicza dostęp do danych, przypisując rozszerzenie o długim ciągu (.id=[].email=[].LuciferCrypt). Szybka ilustracja zainfekowanej próbki wyglądałaby tak 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Po zakończeniu procesu szyfrowania wirus kontynuuje swoją obecność, tworząc plik tekstowy o nazwie HowToRecoverFiles.txt. W tym dokumencie szantażyści powiadamiają ofiary o pomyślnym zaszyfrowaniu. Aby go przywrócić, ofiary powinny skontaktować się z cyberprzestępcami za pośrednictwem poczty e-mail i uiścić opłatę za odzyskanie plików. Po zakończeniu Twoje dane zostaną odszyfrowane automatycznie, bez żadnych manipulacji. Mówi się również, że cena zależy bezpośrednio od tego, jak szybko odpowiesz oszustom. Zanim to zrobisz, możesz również skorzystać z bezpłatnego odszyfrowywania. Deweloperzy proponują przesłanie do 3 plików (mniej niż 4MB i niearchiwalnych), które nie powinny zawierać wartościowych informacji.

Po Pompuj ransomware atakuje twój system, wszystkie dane są łączone w łańcuchy przez silne algorytmy ograniczające dostęp do nich. Złośliwe oprogramowanie dołącza .pompa rozszerzenie plików, które koduje. Na przykład plik podobny do 1.mp4 zyska nowy wygląd 1.mp4.pump i zresetuj jego oryginalną ikonę. Rozszerzenie zastosowane na końcu oznacza, że ​​​​twoje pliki są szyfrowane. Takim modyfikacjom zwykle towarzyszy tworzenie instrukcji okupu. W naszym przypadku wirus upuszcza plik tekstowy o nazwie README.txt który pomoże ci odzyskać pliki. Treść prezentowana w środku jest krótka, cyberprzestępcy dołączają tylko swój adres e-mail, aby nakłonić ofiary do skontaktowania się z nimi. Następnie rzekomo udzielą dalszych instrukcji, jak kupić oprogramowanie deszyfrujące. Bez względu na to, jak daleko posunie się cena, spełnianie próśb oszustów jest ryzykowne - mogą stać się niemądrzy w swoich obietnicach i nie zostawić ci żadnych narzędzi nawet po dokonaniu płatności.