Ransomware

Nowy kryptowirus znany jako LucyferCrypt wkroczył do gry kilka dni temu, aby zaszyfrować dane osobowe. Tak długo, jak trwa badanie, jest już oczywiste, że to oprogramowanie ransomware ogranicza dostęp do danych, przypisując rozszerzenie o długim ciągu (.id=[].email=[].LuciferCrypt). Szybka ilustracja zainfekowanej próbki wyglądałaby tak 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Po zakończeniu procesu szyfrowania wirus kontynuuje swoją obecność, tworząc plik tekstowy o nazwie HowToRecoverFiles.txt. W tym dokumencie szantażyści powiadamiają ofiary o pomyślnym zaszyfrowaniu. Aby go przywrócić, ofiary powinny skontaktować się z cyberprzestępcami za pośrednictwem poczty e-mail i uiścić opłatę za odzyskanie plików. Po zakończeniu Twoje dane zostaną odszyfrowane automatycznie, bez żadnych manipulacji. Mówi się również, że cena zależy bezpośrednio od tego, jak szybko odpowiesz oszustom. Zanim to zrobisz, możesz również skorzystać z bezpłatnego odszyfrowywania. Deweloperzy proponują przesłanie do 3 plików (mniej niż 4MB i niearchiwalnych), które nie powinny zawierać wartościowych informacji.

Po Pompuj ransomware atakuje twój system, wszystkie dane są łączone w łańcuchy przez silne algorytmy ograniczające dostęp do nich. Złośliwe oprogramowanie dołącza .pompa rozszerzenie plików, które koduje. Na przykład plik podobny do 1.mp4 zyska nowy wygląd 1.mp4.pump i zresetuj jego oryginalną ikonę. Rozszerzenie zastosowane na końcu oznacza, że ​​​​twoje pliki są szyfrowane. Takim modyfikacjom zwykle towarzyszy tworzenie instrukcji okupu. W naszym przypadku wirus upuszcza plik tekstowy o nazwie README.txt który pomoże ci odzyskać pliki. Treść prezentowana w środku jest krótka, cyberprzestępcy dołączają tylko swój adres e-mail, aby nakłonić ofiary do skontaktowania się z nimi. Następnie rzekomo udzielą dalszych instrukcji, jak kupić oprogramowanie deszyfrujące. Bez względu na to, jak daleko posunie się cena, spełnianie próśb oszustów jest ryzykowne - mogą stać się niemądrzy w swoich obietnicach i nie zostawić ci żadnych narzędzi nawet po dokonaniu płatności.

Oprogramowanie ransomware MARS to szkodliwy program odkryty przez Michaela Gillespiego. Sposób, w jaki szyfruje pliki, jest bardzo podobny do innych infekcji tego typu - poprzez dołączanie pliku new .Mars or .vyb rozszerzenie, aby podświetlić dane, których to dotyczy. Ofiary zobaczą, jak ich pliki przekształcają się w coś takiego 1.mp4.mars or 1.mp4.vyb. W wyniku tych działań użytkownicy nie mogą w żaden sposób otwierać plików ani nimi manipulować. Aby to naprawić i odzyskać dane, cyberprzestępcy proponują przeczytanie instrukcji w notatce tekstowej (!!!MARS_DECRYPT.TXT) utworzone po zaszyfrowaniu. Informuje cię, że różne typy danych przechowywanych na twoim komputerze zostały zaszyfrowane przez wirusa. Aby go przywrócić, ludzie muszą zapłacić 500 $ w BTC za klucz odszyfrowywania. Zanim to zrobią, szantażyści zdecydowanie nalegają na wysłanie do 3 plików do bezpłatnego odszyfrowania, aby upewnić się, że są wiarygodni. Następnie zespół cyberprzestępców odpowie z linkiem do płatności za zakup ich oprogramowania. Możesz także skontaktować się z programistami za pośrednictwem Telegramu i od razu kupić klucz bez testowania bezpłatnego odszyfrowywania. Chociaż takie funkcje zapewniane przez oszustów mogą budzić zaufanie do ich intencji, odradza się zgadzanie się z tym, co mówią, ponieważ nie ma faktycznej gwarancji, że zwrócą twoje dane bezpieczne i nieuszkodzone.

Inżynieria plików jest przykładem infekcji ransomware konfigurującej pliki ofiar w celu ograniczenia dostępu do nich. Przez większość czasu użytkownicy nie zauważają złośliwego oprogramowania wprowadzanego do systemów. Dawno, dawno temu widzieli, jak ich dane zostały zmienione i zablokowano im regularny dostęp. FileEngineering robi to w ten sposób – przydzielając identyfikator ofiary, adres e-mail cyberprzestępcy oraz .szyfrowane rozszerzenie w plikach. W sieci rozpowszechniane są dwie wersje FileEngineering. Jedyna różnica polega na używaniu różnych adresów e-mail do kontaktowania się z oszustami. Na przykład możesz zobaczyć swoje dane jako 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted w zależności od wersji, która dotyczy Twojego komputera. Następnie kolejnym krokiem w działalności FileEngineering jest utworzenie notatki o nazwie Odzyskaj swoje pliki!.txt który zawiera informacje dotyczące odszyfrowywania. Wewnątrz niego informacje są adresowane przez tak zwanego inżyniera bezpieczeństwa. Mówi, że powinieneś skontaktować się z nim przez e-mail i zapłacić pewną kwotę Bitcoin. Następnie zwróci odszyfrowane pliki i udzieli wskazówek, jak poprawić twoje bezpieczeństwo. Wcześniej możesz również wysłać mały plik, aby udowodnić, że może odblokować twoje dane. Zaufanie cyberprzestępcom zawsze wiąże się z ogromnym ryzykiem, więc to od Ciebie zależy, czy tego chcesz, czy nie. Jeśli pliki nie mają dla Ciebie dużej wartości, możesz po prostu usunąć FileEngineering i nadal korzystać z komputera.

Niedz or SunCrypt jest klasyfikowany jako kryptowirus atakujący systemy w celu szyfrowania danych osobowych. Rozpoczął swoją podróż w październiku 2019 roku i kontynuuje swoją obecność, infekując użytkowników do dziś. Moment, w którym SunCrypt może zostać zauważony na twoim komputerze, następuje wtedy, gdy zmienia twoje pliki, dodając rozszerzenie .sun rozbudowa. Słyszano również o innej wersji SunCrypt, która zamiast rozszerzeń stosuje ciąg losowych symboli. Zmiana na coś takiego 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 oznacza, że ​​nie masz już dostępu do swoich danych. Aby go odzyskać, SunCrypt tworzy notatkę tekstową (DECRYPT_INFORMATION.html or TWOJE_PLIKI_ARE_ENCRYPTED.HTML), które zawierają instrukcje dotyczące okupu. Chociaż SunCrypt jest zorientowany głównie na użytkowników anglojęzycznych, masz również możliwość przełączania się między niemieckim, francuskim i hiszpańskim. To znacznie zwiększa ruch ofiar, umożliwiając programistom rozszerzenie działalności. Jak stwierdzono w notatce, ofiary muszą zainstalować przeglądarkę Tor i kliknąć „Przejdź do naszej witryny", aby kupić oprogramowanie deszyfrujące. Wymagana opłata może się różnić w zależności od indywidualnego przypadku, jednak bez względu na to, jak niska lub wysoka, odradzamy podejmowanie takiego ryzyka.

Dharma-259 to infekcja typu ransomware należąca do rodziny Dharma. Ta grupa programistów wywarła największy wpływ na branżę szkodliwego oprogramowania. Posiadając szereg szkodliwych programów, 259 uzupełnia tę listę i szyfruje dane osobowe za pomocą silnych algorytmów, które uniemożliwiają użytkownikom regularny dostęp. W rezultacie wszystkie dane zmieniają swoją nazwę za pomocą ciągu cyfr, w tym identyfikatora osobistego, adresu e-mail cyberprzestępcy i .259 rozszerzenie na końcu każdego pliku. Na przykład zwykły 1.mp4 doświadczy takiej zmiany 1.mp4.id-C279F237.[259461356@qq.com].259 i zresetuj jego domyślną ikonę. Następnie, gdy proces szyfrowania dobiegnie końca, wirus otwiera wyskakujące okienko i tworzy notatkę tekstową o nazwie FILES ENCRYPTED.txt, z których oba zawierają informacje dotyczące odzyskiwania danych. Jak stwierdzono zarówno w wyskakującym okienku, jak i w notatce, ofiary muszą kontaktować się z oszustami za pośrednictwem poczty elektronicznej, załączając dowód osobisty. Oprócz tego możesz wysłać do 1 pliku (mniej niż 1 MB) do bezpłatnego odszyfrowania. Następnie, gdy szantażyści otrzymają twoją wiadomość, zostaniesz poprowadzony przez kroki, jak kupić oprogramowanie deszyfrujące. Czasami wymagana opłata może gwałtownie przekroczyć limity, stając się nieosiągalna dla większości użytkowników. Nawet jeśli jesteś gotów wzbogacić cyberprzestępców kupujących ich oprogramowanie, odradzamy to, ponieważ większość użytkowników zgłasza wysokie ryzyko bycia oszukanym iw ogóle nie otrzymuje żadnych narzędzi do przywrócenia danych.

Opracowany przez grupę tureckich szantażystów, SifreCikis to infekcja ransomware szyfrująca dane osobowe i żądająca opłaty za odzyskanie. Tworzy silny szyfr na wrażliwych danych za pomocą algorytmów AES i RSA. W rezultacie odszyfrowanie plików staje się trudne do wykonania, nawet przy użyciu narzędzi innych firm. Wszystkie dane zaszyfrowane przez SifreCikis otrzymują nowe rozszerzenie w oparciu o następujące wzorce: .{losowa-sekwencja-alfanumeryczna}. Na przykład plik podobny do 1.txt zmieni się na coś takiego 1.txt.E02F4934FC5A. Następnie, po zakończeniu szyfrowania, użytkownicy napotykają notatkę o nazwie ***NIE*** który zawiera instrukcje dotyczące okupu. Niestety treść notatki jest trudna do zrozumienia dla obcokrajowców, jednak grupa badaczy przetłumaczyła ją i przedstawiła kilka kluczowych informacji. Twierdzi, że powinieneś skontaktować się z cyberprzestępcami za pośrednictwem poczty e-mail i załączyć swój identyfikator osobisty w temacie wiadomości. Następnie otrzymasz dalsze instrukcje zakupu oprogramowania deszyfrującego (500 $ w BTC). W przypadku braku odpowiedzi ze strony szantażystów należy zapoznać się z informacją poprzez link w przeglądarce Tor. Badacze szkodliwego oprogramowania zauważyli nazwę domeny zaczynającą się od sifrecikx, co jest zgodne z proszę cikis (co oznacza „szyfr / hasło + wyjście” po turecku). Ponadto podczas badania naukowcy ustalili, że SifreCikis może być bratem SifreCozucu, ponieważ wygląda bardzo podobnie z niewielkimi różnicami.

Trypolis sklasyfikowane jako infekcja ransomware, której celem jest spowodowanie szyfrowania danych osobowych. Zwykle głównym celem są zdjęcia, filmy, dokumenty i inne pliki, które mogą przechowywać poufne dane. Po tym, jak ten wirus zaatakuje twój system, wszystkie pliki zostaną dotknięte przez .zaszyfrowany rozbudowa. Niektóre ofiary zgłosiły to rozszerzenie, takie jak .Trypolis istnieje również, co oznacza, że ​​istnieją dwie wersje Tripoli Ransomware. W rzeczywistości nie ma znaczenia, który z nich przeniknął do twojego komputera, ponieważ sposób ich działania jest prawie taki sam. W wyniku szyfrowania dostęp do wszystkich plików zostanie ograniczony, użytkownicy nie będą już mogli ich otwierać ani zmieniać. Aby to naprawić, szantażyści proponują wykonanie czynności wymienionych w notatce tekstowej (HOW_FIX_FILES.htm). Kroki te zobowiązują ofiary do zainstalowania przeglądarki Tor i zakupu oprogramowania deszyfrującego zgodnie z załączonym adresem. Decyzja o dokonaniu płatności musi zostać podjęta w ciągu 10 dni. Nalegamy, aby nie podejmować oszukańczych kroków, ponieważ nie ma gwarancji, że wyślą ci obiecane narzędzia. Lepszym sposobem jest usunięcie Tripoli Ransomware i przywrócenie utraconych plików z zewnętrznej kopii zapasowej (pamięć USB). Jeśli go nie masz, spróbuj skorzystać z poniższych wskazówek, aby uzyskać dostęp do swoich danych.