Ransomware

FLAMINGO to szkodliwy element zaprojektowany do blokowania dostępu do danych użytkownika poprzez uruchamianie szyfrowania za pomocą algorytmów kryptograficznych. Pomimo tego, że ransomware jest stosunkowo nowe, wiadomo już, że wykorzystuje tzw .FLAMING rozszerzenie do szyfrowania danych. Na przykład plik podobny do 1.mp4 zmieni się na 1.mp4.FLAMINGO po udanym szyfrowaniu. Następnie użytkownicy otrzymują kroki odszyfrowywania, które znajdują się w notatce tekstowej o nazwie #CZYTAJ MNIE.txt. Według nich ofiary muszą wysłać e-mailem plik testowy (nie większy niż 3 MB), aby udowodnić możliwości deszyfrowania cyberprzestępców. Następnie otrzymasz odpowiedź z instrukcją zakupu (w BTC) narzędzia deszyfrującego. Musimy Cię poinformować, że manipulowanie plikami, ponowne uruchamianie lub wyłączanie komputera może być nieprzewidywalnie niebezpieczne dla Twoich danych. Zwykle twórcy oprogramowania ransomware tworzą specjalne wartości, które całkowicie usuwają dane, jeśli zostaną wykryte próby ich zmiany. Niestety, jak dotąd nie znaleziono 100% sposobu na odzyskanie danych zaszyfrowanych przez FLAMINGO. Możesz tylko odinstalować wirusa, aby zapobiec dalszemu szyfrowaniu. Odszyfrowanie może być możliwe, ale należy je przetestować indywidualnie.

Opracowywany przez Phobos Ransomware rodzina, Acuff nakłada silną blokadę na dane ofiar, uruchamiając szyfrowanie za pomocą algorytmów kryptograficznych. To zatem całkowicie ogranicza wszelkie próby odzyskania danych. Po przeprowadzeniu ataku możesz zobaczyć, jak Twoje pliki zmieniają się na coś takiego 1.mp4.id[C279F237-2275].[unlockfiles2021@cock.li].Acuff, co jest dowodem na to, że twoje pliki zostały zainfekowane. Acuff Ransomware wykorzystuje identyfikator ofiary, adres e-mail cyberprzestępców i .Ack rozszerzenie, aby podświetlić zaszyfrowane dane. Aby pomóc użytkownikom w przywróceniu ich danych, szantażyści proponują przejście przez instrukcje odszyfrowywania listy notatek. Informacje można znaleźć w dwóch plikach o nazwie info.hta i info.txt które są tworzone po zaszyfrowaniu. Pierwszym krokiem na ścieżce odszyfrowania jest skontaktowanie się z cyberprzestępcami za pośrednictwem adresu e-mail, do którego dołączony jest Twój osobiście wygenerowany identyfikator (odblokuj pliki2021@cock.li or decryfiles2021@tutanota.com). Po tym oszuści odpowiedzą szczegółami, jak kupić oprogramowanie deszyfrujące. Zanim to zrobisz, możesz również wysłać do 5 plików (mniej niż 4 MB i nie zarchiwizowanych) w celu bezpłatnego odszyfrowania. Pomimo tego, że ta aktywność może wydawać się godna zaufania, odradzamy spełnianie jakichkolwiek wymagań stawianych przez twórców złośliwego oprogramowania. Zapłacenie dużej sumy pieniędzy za odzyskanie plików byłoby ryzykowne.

Bondy to infekcja typu ransomware, której celem są różne rodzaje danych poprzez uruchomienie szyfrowania za pomocą silnych algorytmów RSA. Zwykle jest dystrybuowany w dwóch wersjach: pierwsza przypisuje więź rozszerzenie, podczas gdy inne używa .łączyć do szyfrowania plików ofiar. W ten sposób zainfekowane dane pojawią się jako 1.mp4.bondy or 1.mp4.connect w zależności od tego, która wersja zaatakowała twój system. Ostatnią i najważniejszą częścią działania ransomware jest tworzenie notatki tekstowej (HELP_DECRYPT_TWOJE_PLIKI.txt), aby wyjaśnić instrukcje odszyfrowywania. Twierdzi się, że twoje dane zostały zaszyfrowane za pomocą RSA, który jest asymetrycznym algorytmem kryptograficznym wymagającym klucza prywatnego do odblokowania danych. Taki klucz jest przechowywany na serwerze cyberprzestępców. Można go uzyskać tylko płacąc 500 $ w Bitcoinach przez portfel załączony w notatce. Ponadto szantażyści oferują odszyfrowanie 1 pliku za darmo jako dowód, że można im zaufać. W rzeczywistości wszystko może pójść w drugą stronę - cyberprzestępcy oszukają Cię i nie zapewnią żadnych narzędzi do odzyskania Twoich danych. Statystyki pokazują, że zdarza się to wielu użytkownikom, którzy odważą się zapłacić okup. Ponieważ nie ma darmowych narzędzi, które mogłyby odblokować twoje dane, jedynym i najlepszym sposobem jest odzyskanie plików z zewnętrznej kopii zapasowej, jeśli została utworzona przed atakiem.

Zdeterminowany przez Karstena Hahna, Generator logowania Netflix to złośliwy program sklasyfikowany jako ransomware. Początkowo jest promowany jako narzędzie do darmowego zakładania konta w serwisie Netflix, bez wykupywania abonamentu. Jednak zamiast tego program inicjuje konfigurację oprogramowania ransomware, które szyfruje dane osobowe (za pomocą algorytmów AES-256). Prawdziwym zaskoczeniem dla niedoświadczonych użytkowników jest to, że ich dane są zablokowane i niedostępne. Zaszyfrowane dane można wyraźnie zobaczyć dzięki nowemu rozszerzeniu, które jest przypisane do każdego pliku. Na przykład oryginalna próbka jak 1.mp4 otrzyma nowy wygląd czegoś takiego 1.mp4.se. Następnie, wkrótce po zaszyfrowaniu, wirus upuszcza notatkę o nazwie Instrukcje.txt zmiana tapety pulpitu na treści zawarte w wygenerowanej notatce. Załączone informacje sugerują kroki, aby wykonać odszyfrowanie danych. Aby to zrobić, szantażyści proszą o transakcję 100 $ równą Bitcoinowi. Ciekawym i osobliwym faktem jest to, że Netflix Login Generator może sam się wyłączyć, jeśli Twój system nie jest oparty na systemie Windows 7 lub 10. Niezależnie od przypadku, jeśli to złośliwe oprogramowanie będzie nadal występować w Twoim systemie, musisz je usunąć i odzyskać dane za pomocą zewnętrznego kopia plików.

KURATOR to kolejna wersja infekcji ransomware, która blokuje dane ofiary, żądając opłaty za ich zwrot. Podstawowym objawem pozostawiania przez CURATOR śladów w systemie jest dołączanie nowych rozszerzeń do plików, których dotyczy problem. Na przykład plik podobny do 1.mp4 wyjdzie jako 1.mp4.CURATOR po interakcji z oprogramowaniem ransomware. Aby odzyskać swoje dane, szantażyści proponują przeczytanie instrukcji w pliku !=HOW_TO_DECRYPT_FILES=!.txt uwaga, która jest tworzona wkrótce po zaszyfrowaniu. Zgodnie z dostarczoną notatką, osoby atakujące zaszyfrowały twoje pliki silnymi algorytmami (ChaCha+AES), które ograniczają próby samodzielnego przywrócenia plików. W rezultacie jedynym możliwym sposobem wydaje się zakup klucza deszyfrującego przechowywanego na serwerze cyberprzestępców. Po podjęciu decyzji szantażyści uprzejmie proszą o kontakt e-mailowy w celu uzyskania dalszych instrukcji. Możesz także skorzystać ze specjalnej oferty - wyślij do 3 plików (nie więcej niż 5 MB) do bezpłatnego odszyfrowania. Chociaż takie posunięcie może wzbudzić zaufanie łatwowiernych użytkowników, odradzamy płacenie okupu. Zawsze istnieje ryzyko, że stracisz pieniądze i nie otrzymasz żadnego z obiecanych narzędzi do odzyskiwania danych.

Bycie częścią Dharma rodzina, Dharma-BLM to złośliwy program, który dąży do osiągnięcia korzyści finansowych poprzez szyfrowanie danych osobowych. Robi to, przypisując ciąg symboli, w tym unikalny identyfikator, adres e-mail cyberprzestępców i .blm rozszerzenie na końcu każdego pliku. Oto przykład, jak będą wyglądać zainfekowane dane 1.mp4.id-C279F237.[blacklivesmatter@qq.com].blm. Po zakończeniu procesu szyfrowania wirus przechodzi do następnego kroku i tworzy notatkę tekstową (FILES ENCRYPTED.txt) zawierające instrukcje dotyczące okupu. Wiadomość uzasadnia, że ​​wszystkie dane zostały pomyślnie zaszyfrowane i wymaga działania w ciągu 24 godzin - skontaktowania się z cyberprzestępcami za pośrednictwem poczty e-mail i otrzymania szczegółów płatności w celu zakupu narzędzi deszyfrujących. Ofiary są również ostrzegane, że wszelkie manipulacje plikami, takie jak zmiana nazwy, doprowadzą do trwałej utraty. Ponadto programiści proponują wysłanie pliku do bezpłatnego odszyfrowania, co było sztuczką stosowaną przez wielu twórców oprogramowania ransomware, aby wzbudzić zaufanie łatwowiernych użytkowników i zawrzeć umowę. Niestety, najczęściej odszyfrowywanie danych bez udziału programistów nie przyniesie żadnych rezultatów, chyba że ransomware zawiera jakieś błędy lub wady, które pozwolą narzędziom innych firm złamać przypisany szyfr.

Bit Ransomware jest znany jako wirus szyfrujący pliki, którego celem jest blokowanie danych użytkownika i utrzymywanie ich w tajemnicy, dopóki nie zostanie zapłacony okup. Takie złośliwe oprogramowanie zarabia dużo pieniędzy na niedoświadczonych użytkownikach, którzy nie mają wyboru i muszą uiścić opłatę, ponieważ ich dane są zaszyfrowane niemożliwymi do złamania szyframi. Wyobraź sobie, że wszystkie Twoje dane osobowe stają się niedostępne - tak właśnie robi BitRansomware. Przypisuje nowe .przeczytaj mnie rozszerzenie na końcu każdego pliku, aby wyróżnić je spośród oryginalnych. Przykład zaszyfrowanych danych wygląda tak 1.mp4.readme. Po tym procesie szantażyści będą wyświetlać notatkę tekstową o nazwie Czytaj_ja.txt wyjaśniając proces deszyfrowania. Mówi się, że wszystkie ważne pliki zostały pomyślnie zaszyfrowane, a jedynym możliwym sposobem na wdrożenie pełnego odszyfrowania jest uiszczenie opłaty za pośrednictwem łącza Tor dołączonego w notatce. Zwykle jest to prawda, ponieważ pliki można odszyfrować tylko wtedy, gdy ransomware zawiera wady lub błędy przeoczone przez programistów. W każdym razie nie zalecamy płacenia okupu, ponieważ zaufanie szantażystom to dość trudna sprawa.

Izolacja to oprogramowanie do szyfrowania plików stworzone w celu zarabiania pieniędzy na niechronionych użytkownikach. Wirus działa przy użyciu algorytmów AES+RSA w celu skonfigurowania silnego szyfrowania przechowywanych danych i załączników .Zakaz wyjścia rozbudowa. Wiele rodzajów danych zostanie zmienionych zgodnie z tym przykładem 1.mp4.LockDown. Po zakończeniu szyfrowania LockDown tworzy notatkę tekstową (HELP_DESZYFRUJ TWOJE PLIKI) zawierające instrukcje dotyczące okupu. Użytkownikom mówi się, że tylko klucz prywatny posiadany przez cyberprzestępców może prowadzić do pomyślnego odszyfrowania danych. Aby go zdobyć, ofiary muszą wysłać Bitcoiny o wartości około 460 $ do załączonego portfela. Chociaż szantażyści rzekomo udowadniają swoją integralność, umożliwiając użytkownikom odszyfrowanie 1 pliku za darmo, nadal odradzamy płacenie okupu, ponieważ istnieje ryzyko, że oszuści ostatecznie nie zapewnią narzędzi do odzyskiwania. Na razie nie ma oficjalnych narzędzi, które mogłyby zagwarantować 100% odszyfrowanie plików.