Ransomware

Powrót w 2016, KeRanger stał się pierwszym oprogramowaniem ransomware, które zaatakowało użytkowników komputerów Mac. Większość użytkowników była oszołomiona, gdy zdała sobie sprawę, że ich dane są zablokowane, ponieważ pobrali legalnego klienta BitTorrent o nazwie Transmisja. W tym czasie cyberprzestępcom udało się zhakować ich stronę internetową i zakorzenić wirusa szyfrującego pliki w nowej wersji, która miała się ukazać. Dlatego użytkownicy nieumyślnie złapali atak złośliwego oprogramowania, aktualizując wcześniej zainstalowaną aplikację. Niestety laboratoria nie zidentyfikowały odpowiedniego środka do odszyfrowania zadanych danych. Zamiast tego ofiary oferują płatne rozwiązanie, które kupuje program deszyfrujący. Transakcji należy dokonać za pośrednictwem przeglądarki Tor, płacąc 1 BTC (wówczas około 407), obecnie Bitcoin stanowi około 5,260 USD. Szantażyści twierdzą również, że odpowiedzą na każde twoje pytanie, jeśli naprawdę masz motywację do zapłacenia okupu. Możesz także odszyfrować 1 plik za pośrednictwem strony Tor, do której link znajduje się w notatce. Jak wspomniano, narzędzia innych firm nie są obecnie w stanie odszyfrować zablokowanych danych.

Podczas gdy większość twórców oprogramowania ransomware koncentruje się na infekowaniu systemów opartych na systemie Windows, WiekLocker zamiast tego celuje w Maca i Linuksa. Ransomware pozycjonuje się jako wirus zorientowany na biznes, który rozprzestrzenia się na korporacje, jednak zdarzają się również ataki na zwykłych użytkowników. Proces szyfrowania wygląda bardzo podobnie do systemu Windows, jedyną różnicą jest użycie różnych rozszerzeń i formatów plików. AgeLocker stosuje swój osobisty wiersz poleceń, aby uruchomić proces szyfrowania. Pliki, na które wpłynął AgeLocker, otrzymują spersonalizowane rozszerzenia na podstawie nazw użytkowników. Nie można zidentyfikować, który plik został zainfekowany, ponieważ AgeLocker szyfruje oryginalną nazwę i dodaje losowe rozszerzenie na końcu. Niektóre osoby zgłosiły, że ich pliki zostały dodane z rozszerzeniem .std2 rozszerzenie, a nazwa zaszyfrowanych plików zaczyna się od wiek-szyfrowanie.org Adres URL. Gdy wszystkie pliki zostaną pomyślnie zablokowane, wirus wysyła żądanie okupu (audyt_bezpieczeństwa_.eml) na adres e-mail ofiary.

Oprogramowanie ransomware AESMewLocker to prawdziwe zagrożenie, które atakuje twoje dane, szyfrując je za pomocą algorytmów formatu plików AES. Nie jest to nic szczególnego w świecie ransomware. Wirus pojawił się na wielu forach kilka dni temu i zadał swoim ofiarom duże pytanie - jak odszyfrować pliki? Na razie nie ma realnych sposobów na odblokowanie plików, które są szyfrowane za pomocą .zablokowany przedłużenie po penetracji. Wszystkie twoje pliki stają się niedostępne i można je odblokować tylko wtedy, gdy spełnisz wymagania oszusta i zapłacisz za klucz odszyfrowywania. Sam klucz nie jest tani, trzeba wydać 0.05 BTC i skontaktować się z szantażystami, aby otrzymać instrukcje odszyfrowywania. Wszystkie te informacje są podane w żądaniu okupu (CZYTAJ_IT.txt) utworzone po pomyślnym zaszyfrowaniu.

IOCP to infekcja ransomware, która szyfruje dane osobowe i blokuje je, dopóki ofiary nie zapłacą tak zwanego okupu. Używa losowego 5-literowego rozszerzenia, aby zastąpić oryginalny wygląd pliku. Po dodaniu plik zresetuje swoją ikonę i zmieni ją na 1.mp4.UAKXC, na przykład. Niektórzy mylą się, mówiąc, że IOCP jest częścią Oprogramowanie ransomware Conti. To nieprawda, ponieważ Conti używa algorytmów AES, podczas gdy IOCP zamiast tego stosuje Salsa20 i ChaCha20. Po zablokowaniu plików wirus tworzy żądanie okupu (R3ADM3.txt) zawierający instrukcje dotyczące sposobu odszyfrowania danych. Mówi się, że należy napisać e-mail na jeden z załączonych adresów. Nie ma ograniczeń czasowych, jednak cyberprzestępcy twierdzą, że jeśli nie zapłacisz za oprogramowanie deszyfrujące, Twoje pliki zostaną opublikowane w sieci. W tej chwili, ponieważ to ransomware jest stosunkowo nowe, eksperci nie znaleźli skutecznego sposobu na bezpłatne odszyfrowanie plików.

Zorab to wirus szyfrujący pliki określony przez S! R1, badacz złośliwego oprogramowania, który otworzył szereg innych infekcji. Konsekwencje Zorab są wyraźnie widoczne w szyfrowaniu danych i żądaniach zapłaty za narzędzia deszyfrujące. Wszystkie pliki, na które ma wpływ ransomware, zostaną ponownie skonfigurowane za pomocą .zrb or .zorab2 rozbudowa. Na przykład plik wolny od wirusów, taki jak 1.mp4 przyjrzy się 1.mp4.zrb or 1.mp4.zorab2 po penetracji. Taka zmiana oznacza, że ​​Twoje pliki staną się niedostępne. Aby je odszyfrować, szantażyści proponują przeczytanie instrukcji podanych w notatce tekstowej (--DECRYPT--ZORAB.txt), który jest usuwany po zakończeniu głównego szyfrowania. W żądaniu okupu cyberprzestępcy próbują pocieszyć zdezorientowane ofiary i dać im do zrozumienia, że ​​ich dane są bezpieczne i można je odzyskać. Jedyne, co muszą zrobić, to kupić oprogramowanie deszyfrujące w BTC po nawiązaniu kontaktu z cyberprzestępcami za pośrednictwem poczty elektronicznej. Istnieje również sztuczka mająca na celu wzbudzenie zaufania użytkowników - odszyfrowanie 2 małych plików za darmo. Niestety, ponieważ masz do czynienia z oszukańczymi środkami, nie ma prawdziwej gwarancji, że Twoje pliki zostaną w rezultacie przywrócone. Właśnie dlatego większość cyberekspertów zaleca oszczędzanie pieniędzy i zapobiegawcze tworzenie zewnętrznych kopii zapasowych w celu przywrócenia zablokowanych plików po usunięciu złośliwego oprogramowania.

Odkryta w 2020 r. KoronaLock ogranicza dostęp do danych użytkowników, szyfrując je algorytmami ChaCha, AES i RSA. Pliki naruszone przez to oprogramowanie ransomware mają zmianę rozszerzenia .pandemia, .blokada koronowa or .biglock, Na przykład, jeśli 1.mp4 zostanie zmodyfikowany przez wirusa, przeniesie się do 1.mp4.korona-blokada or 1.mp4.biglock. Następnie szantażyści wyświetlają informacje o okupie w notatce (!!!CZYTAJ_ME!!!.TXT or README_LOCK.TXT), który jest upuszczony na pulpit. Co ciekawe, osoby zaatakowane rozszerzeniem „.biglock” nie mają żadnych danych kontaktowych w żądaniu okupu, aby połączyć się z cyberprzestępcami. Wygląda na to, że jego twórcy zapomnieli dołączyć go przed wydaniem. W międzyczasie wersje „.corona-lock” nie mają tej wady i zawierają e-mail w pliku tekstowym. Jeśli chcesz wykonać odszyfrowanie testowe, możesz wysłać im jeden plik.

Będąc sklasyfikowanym jako infekcja ransomware, Django nie jest wirusem, z którym można sobie żartować. Gdy tylko pojawi się na komputerze, powoduje spustoszenie w danych osobowych, szyfrując je za pomocą specjalnych algorytmów, które nie pozwalają narzędziom innych firm na jakiekolwiek argumenty w przyszłości. Podczas szyfrowania danych Twoje pliki ulegają zmianie za pomocą rozszerzenia .djang0unchain3d rozbudowa. Oznacza to, że plik taki jak 1.mp4 zostanie zmieniony na 1.mp4.djang0unchain3d i zresetuj jego oryginalną ikonę. Wygląda na to, że twórcy zainspirowali hollywoodzki film „Django Unchained” i postanowili zapożyczyć jego nazwę. Gdy szyfrowanie dobiegnie końca, ofiary otrzymują instrukcje dotyczące okupu Readme.txt które wyjaśniają, jak odszyfrować dane. Cyberprzestępcy twierdzą, że aby odzyskać swoje pliki, należy skontaktować się z nimi za pośrednictwem załączonego adresu e-mail i podać swój identyfikator. Jeśli nie otrzymasz odpowiedzi w ciągu 24 godzin, powinieneś napisać na inny e-mail podany w notatce. Następnie szantażyści poproszą Cię o zakup klucza deszyfrującego za pośrednictwem portfela BTC, co ostatecznie pomoże Ci przywrócić dostęp do zablokowanych danych.

Odkryta niedawno, Dharma-2020 to program ransomware, który wykorzystuje silne algorytmy kryptograficzne do blokowania danych i żądania zapłaty okupu. Po tym, jak wirus zaatakuje Twój komputer, natychmiast szyfruje zapisane pliki, zmieniając ich tytuły na adres e-mail przestępcy i inne symbole. Na przykład, 1.mp4 zmieni nazwę na coś w rodzaju 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Po pomyślnym zaszyfrowaniu program wyświetla okno wiadomości i tworzy żądanie okupu o nazwie FILES ENCRYPTED.txt. Złośliwe oprogramowanie blokuje wszelkie próby odszyfrowania plików i użycia niektórych programów zabezpieczających. Następnie Dharma-2020 Ransomware robi czystą klasykę, prosząc użytkowników o zapłacenie okupu w BTC (od 50 do 500 USD) i wysłanie wypłaty na ich adres e-mail, po czym dadzą ci program deszyfrujący.