Ransomware

LockShit BLACKED Ransomware to rodzaj złośliwego oprogramowania, którego celem są firmy na całym świecie, szyfrujące ich dane i żądające okupu za klucz deszyfrujący. Jest znany ze swojej agresywnej taktyki, w tym grożenia wielokrotnym atakiem na firmę, jeśli okup nie zostanie zapłacony. Ransomware zmienia tapetę pulpitu i tworzy notatkę z żądaniem okupu o nazwie KJHEJgtkhn.READMEt.txt aby przekazać ofiarom instrukcje dotyczące dalszego postępowania. Po zainfekowaniu komputera ransomware LockShit BLACKED dodaje do zaszyfrowanych plików unikalne rozszerzenie, którym jest .KJHEJgtkhn. W dostarczonych źródłach nie podano szczegółowego algorytmu szyfrowania używanego przez LockShit BLACKED, ale oprogramowanie ransomware zazwyczaj wykorzystuje silne metody szyfrowania, takie jak AES lub RSA, co utrudnia odszyfrowanie plików bez odpowiedniego klucza deszyfrującego. Żądanie okupu informuje ofiary, że ich dane zostały skradzione i zaszyfrowane. Ostrzega przed usuwaniem lub modyfikowaniem jakichkolwiek plików, ponieważ może to prowadzić do problemów z odzyskaniem. Notatka zawiera także link do strony internetowej TOR, na której prawdopodobnie ma zostać dokonana płatność okupu.

Ldhy Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania krypto-ransomware. Jego zadaniem jest infiltrowanie systemów Windows, szyfrowanie plików i żądanie okupu za klucz deszyfrujący. Celem tego artykułu jest przedstawienie informacyjnego przeglądu oprogramowania Ldhy Ransomware, metod jego infekcji, stosowanego szyfrowania, generowanego żądania okupu oraz możliwości odszyfrowania. Po przeniknięciu do systemu Ldhy Ransomware atakuje i szyfruje szeroką gamę typów plików, w tym dokumenty, obrazy i bazy danych, przy użyciu algorytmu szyfrowania Salsa20. Algorytm ten znany jest z silnych możliwości szyfrowania, co sprawia, że ​​brutalne wymuszanie kluczy deszyfrujących jest praktycznie niemożliwe. Po zaszyfrowaniu plików LDHY dołącza plik .ldhy rozszerzenie nazw plików, sygnalizujące, że pliki zostały naruszone. Ldhy Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt, który zwykle jest umieszczany na pulpicie ofiary. Notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i że odzyskanie jest możliwe jedynie poprzez zakup narzędzia do odszyfrowania i unikalnego klucza od atakujących. Żądany okup może wynosić od 499 do 999 dolarów, płatny w Bitcoinach, z 50% zniżką, jeśli ofiara skontaktuje się z napastnikami w ciągu 72 godzin.

Secles Ransomware to rodzaj kryptowirusa, który szyfruje pliki użytkowników, czyniąc je niedostępnymi i żądając okupu za klucz deszyfrujący. Głównym celem tego artykułu jest przedstawienie informacyjnego przeglądu oprogramowania Secles Ransomware, w tym jego metod infekcji, używanych rozszerzeń plików, stosowanego mechanizmu szyfrowania, generowanego żądania okupu, dostępności narzędzi deszyfrujących i potencjalnych metod deszyfrowania dotknięte pliki. Gdy Secles Ransomware infekuje komputer, skanuje w poszukiwaniu plików i szyfruje je przy użyciu zaawansowanego algorytmu szyfrowania. Do zaszyfrowanych plików dołączony jest unikalny identyfikator, nazwa użytkownika Telegramu cyberprzestępców oraz rozszerzenie .secles rozszerzenie. Dokładny algorytm szyfrowania używany przez Secles Ransomware nie jest określony w dostarczonych wynikach wyszukiwania, ale ransomware zazwyczaj wykorzystuje silne standardy szyfrowania, takie jak AES (Advanced Encryption Standard), aby zapobiec nieautoryzowanemu odszyfrowaniu. Po zaszyfrowaniu Secles Ransomware generuje notatkę z żądaniem okupu o nazwie ReadMe.txt, instruując ofiary, aby zainstalowały komunikator Telegram i skontaktowały się z cyberprzestępcami pod adresem @seclesbot w celu odzyskania danych. Notatka z żądaniem okupu jest zwykle umieszczana w katalogach zawierających zaszyfrowane pliki lub na pulpicie.

Cdcc Ransomware to odmiana rodziny ransomware STOP/DJVU, znanej z szyfrowania plików osobistych na zainfekowanych urządzeniach i dołączania .cdcc rozszerzenia nazw plików. Jego celem jest szeroki zakres typów plików, czyniąc je niedostępnymi do czasu zapłacenia okupu. Na przykład, 1.jpg stanie się 1.jpg.cdcc. Ransomware wykorzystuje algorytm szyfrowania Salsa20, który jest silny i wymaga unikalnego klucza do odszyfrowania. Po zaszyfrowaniu plików Cdcc Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt i umieszcza go w każdym folderze zawierającym zaszyfrowane pliki, a także na pulpicie, dzięki czemu ofiara jest świadoma ataku. Głównym celem artykułu jest funkcja informacyjna, dostarczająca szczegółowych informacji na temat oprogramowania Cdcc Ransomware, jego metod infekcji, stosowanego szyfrowania, tworzonego żądania okupu oraz możliwości odszyfrowania, w tym użycia narzędzi takich jak deszyfrator Emsisoft STOP Djvu .

Cdxx Ransomware jest odmianą cieszącej się złą sławą rodziny ransomware STOP/DJVU. Jest to rodzaj złośliwego oprogramowania, które szyfruje pliki osobiste na zainfekowanych urządzeniach, takie jak zdjęcia, dokumenty i bazy danych, a następnie dołącza .cdxx rozszerzenie nazw plików, skutecznie ograniczając dostęp do tych plików do czasu zapłacenia okupu. Na przykład, document.pdf zostanie przemianowany na document.pdf.cdxx. Ransomware wykorzystuje niezawodne algorytmy szyfrowania, dzięki czemu pliki stają się niedostępne bez klucza deszyfrującego. Cdxx Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt w każdym katalogu, w którym pliki zostały zaszyfrowane. Ta notatka zawiera instrukcje od atakujących, jak zapłacić okup i skontaktować się z nimi. Kwota okupu zazwyczaj waha się od 999 do 1999 dolarów i jest płatna w Bitcoinach. Cdxx Ransomware zazwyczaj rozprzestrzenia się poprzez złośliwe pliki do pobrania, załączniki do wiadomości e-mail i kampanie phishingowe. Atakujący wykorzystują taktykę inżynierii społecznej, aby nakłonić użytkowników do uruchomienia oprogramowania ransomware w ich systemach. Po aktywacji Cdxx Ransomware skanuje system w poszukiwaniu plików do zaszyfrowania, unikając katalogów systemowych i niektórych rozszerzeń plików, takich jak .ini, .bat, .dll, .lnk i .sys.

XRP Ransomware to rodzaj złośliwego oprogramowania należącego do rodziny ransomware GlobeImposter. Jego podstawową funkcją jest szyfrowanie plików na komputerze ofiary, czyniąc je niedostępnymi. Ransomware dołącza adres e-mail i plik .xrp rozszerzenie nazw plików, wskazujące, że pliki zostały zaszyfrowane. Po zainfekowaniu komputera XRP Ransomware skanuje cały dysk twardy w poszukiwaniu plików i blokuje je. Na przykład to się zmienia 1.jpg do 1.jpg.[a.wyper@bejants.com].xrp. Ransomware zazwyczaj wykorzystuje szyfrowanie symetryczne lub asymetryczne. Szyfrowanie symetryczne wykorzystuje ten sam klucz zarówno do szyfrowania, jak i deszyfrowania, podczas gdy szyfrowanie asymetryczne wykorzystuje dwa różne klucze – jeden do szyfrowania, a drugi do deszyfrowania. XRP Ransomware tworzy żądanie okupu o nazwie Read_For_Restore_File.html w każdym folderze zawierającym zaszyfrowane pliki. Notatka z żądaniem okupu zazwyczaj instruuje ofiary, jak zapłacić okup w celu odszyfrowania swoich plików.

SDfghjkl Ransomware to rodzaj złośliwego oprogramowania należący do rodziny ransomware Paradise, odkryty przez badacza o imieniu Raby. Jego zadaniem jest szyfrowanie danych na zainfekowanych komputerach, czyniąc pliki niedostępnymi dla użytkowników, a następnie żąda zapłaty okupu w Bitcoinach za klucz deszyfrujący. Podczas procesu szyfrowania SDfghjkl Ransomware zmienia nazwy wszystkich plików, których dotyczy problem, dołączając do nazw plików określony wzór: _{fiasco911@protonmail.com}SDfghjkl. Na przykład, 1.jpg zostanie przemianowany na 1.jpg _{fiasco911@protonmail.com}SDfghjkl. Dokładny algorytm kryptograficzny używany przez SDfghjkl nie jest określony w dostarczonych źródłach, ale oprogramowanie ransomware często używa silnych algorytmów szyfrowania symetrycznego lub asymetrycznego. SDfghjkl Ransomware tworzy plik tekstowy (Instructions with your files.txt) na pulpicie i wyświetla wyskakujące okienko ze szczegółową wiadomością o okupie. Wiadomość informuje ofiary, że ich dane zostały zaszyfrowane i zawiera instrukcje, jak skontaktować się z atakującymi za pośrednictwem podanego adresu e-mail (fiasco911@protonmail.com) w celu wynegocjowania płatności okupu.

SNet Ransomware to groźne cyberzagrożenie, które po raz pierwszy wykryto w październiku 2021 r. Szyfruje pliki użytkownika, czyniąc je niedostępnymi do czasu zapłacenia okupu. Oprogramowanie ransomware stwarza poważne ryzyko zarówno dla osób fizycznych, jak i organizacji, a jego głośne przypadki obejmują duży szpital i instytucję bankową. Gdy ransomware SNet przeniknie do systemu, szyfruje pliki i dodaje .SNet rozszerzenia nazw plików. Na przykład nazwa pliku pierwotnie nazwany „document.docx” zostanie zmieniona na „document.docx.SNet”. Ransomware wykorzystuje kombinację algorytmów szyfrowania AES-256 i RSA-1024 do szyfrowania plików. Te zaawansowane taktyki szyfrowania niezwykle utrudniają, jeśli nie uniemożliwiają, odszyfrowanie plików bez określonego klucza deszyfrującego. Po procesie szyfrowania ransomware SNet upuszcza notatkę z żądaniem okupu o nazwie DecryptNote.txt. Ta notatka informuje ofiarę o szyfrowaniu i żąda okupu, zwykle wynoszącego od 490 do 980 dolarów w Bitcoinie, za klucz odszyfrowujący.