Ransomware

Odkryta w 2020 r. KoronaLock ogranicza dostęp do danych użytkowników, szyfrując je algorytmami ChaCha, AES i RSA. Pliki naruszone przez to oprogramowanie ransomware mają zmianę rozszerzenia .pandemia, .blokada koronowa or .biglock, Na przykład, jeśli 1.mp4 zostanie zmodyfikowany przez wirusa, przeniesie się do 1.mp4.korona-blokada or 1.mp4.biglock. Następnie szantażyści wyświetlają informacje o okupie w notatce (!!!CZYTAJ_ME!!!.TXT or README_LOCK.TXT), który jest upuszczony na pulpit. Co ciekawe, osoby zaatakowane rozszerzeniem „.biglock” nie mają żadnych danych kontaktowych w żądaniu okupu, aby połączyć się z cyberprzestępcami. Wygląda na to, że jego twórcy zapomnieli dołączyć go przed wydaniem. W międzyczasie wersje „.corona-lock” nie mają tej wady i zawierają e-mail w pliku tekstowym. Jeśli chcesz wykonać odszyfrowanie testowe, możesz wysłać im jeden plik.

Będąc sklasyfikowanym jako infekcja ransomware, Django nie jest wirusem, z którym można sobie żartować. Gdy tylko pojawi się na komputerze, powoduje spustoszenie w danych osobowych, szyfrując je za pomocą specjalnych algorytmów, które nie pozwalają narzędziom innych firm na jakiekolwiek argumenty w przyszłości. Podczas szyfrowania danych Twoje pliki ulegają zmianie za pomocą rozszerzenia .djang0unchain3d rozbudowa. Oznacza to, że plik taki jak 1.mp4 zostanie zmieniony na 1.mp4.djang0unchain3d i zresetuj jego oryginalną ikonę. Wygląda na to, że twórcy zainspirowali hollywoodzki film „Django Unchained” i postanowili zapożyczyć jego nazwę. Gdy szyfrowanie dobiegnie końca, ofiary otrzymują instrukcje dotyczące okupu Readme.txt które wyjaśniają, jak odszyfrować dane. Cyberprzestępcy twierdzą, że aby odzyskać swoje pliki, należy skontaktować się z nimi za pośrednictwem załączonego adresu e-mail i podać swój identyfikator. Jeśli nie otrzymasz odpowiedzi w ciągu 24 godzin, powinieneś napisać na inny e-mail podany w notatce. Następnie szantażyści poproszą Cię o zakup klucza deszyfrującego za pośrednictwem portfela BTC, co ostatecznie pomoże Ci przywrócić dostęp do zablokowanych danych.

Odkryta niedawno, Dharma-2020 to program ransomware, który wykorzystuje silne algorytmy kryptograficzne do blokowania danych i żądania zapłaty okupu. Po tym, jak wirus zaatakuje Twój komputer, natychmiast szyfruje zapisane pliki, zmieniając ich tytuły na adres e-mail przestępcy i inne symbole. Na przykład, 1.mp4 zmieni nazwę na coś w rodzaju 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Po pomyślnym zaszyfrowaniu program wyświetla okno wiadomości i tworzy żądanie okupu o nazwie FILES ENCRYPTED.txt. Złośliwe oprogramowanie blokuje wszelkie próby odszyfrowania plików i użycia niektórych programów zabezpieczających. Następnie Dharma-2020 Ransomware robi czystą klasykę, prosząc użytkowników o zapłacenie okupu w BTC (od 50 do 500 USD) i wysłanie wypłaty na ich adres e-mail, po czym dadzą ci program deszyfrujący.

Czarny Pazur to niedawna infekcja ransomware, która wykorzystuje algorytmy AES i RSA do szyfrowania danych użytkownika. Niektórzy eksperci porównali to z innym wirusem szyfrującym pliki o nazwie Apokalipsa Billy'ego„ze względu na podobne szczegóły listu z żądaniem okupu, jednak w miarę kontynuowania badań okazało się, że nie ma z tym żadnej korelacji. BlackClaw to niezależny kawałek, który przypisuje .apokalipsa rozszerzenie do zaszyfrowanych plików. Na przykład plik podobny do 1.mp4 ulegnie zmianie 1.mp4.apocalypse. Po zastosowaniu tych zmian użytkownicy nie mają już dostępu do swoich danych. Następnym krokiem BlackClaw po zablokowaniu danych jest usunięcie pliku tekstowego (ODZYSKAJ SWOJE PLIKI.hta or ODZYSKAJ SWOJE PLIKI.txt), który powiadamia ludzi o szyfrowaniu. Aby odszyfrować pliki, użytkownicy muszą przekazać 50 $ na wskazany w notatce adres bitcoin i skontaktować się z szantażystami za pośrednictwem kanału Telegram. Następnie ofiary rzekomo otrzymają narzędzie deszyfrujące w celu przywrócenia zablokowanych plików. Chociaż 50 $ nie jest dużą kwotą dla twórców oprogramowania ransomware, po dokonaniu płatności nadal istnieje ryzyko, że zostaną oszukani i zignorowani przez cyberprzestępców.

Ustalił Jakub Kroustek, Ransomware GNS należy do Dharma rodzina, która szyfruje dane użytkowników i żąda określonej opłaty za ich odzyskanie. Podobnie jak inne wersje Dharmy, GNS stosuje ciąg symboli, w tym identyfikator ofiary, adres e-mail cyberprzestępcy (geniusid@protonmail.ch), A .GNS rozszerzenie na koniec. Jeśli oryginalny plik, taki jak 1.mp4 zostanie skonfigurowany przez GNS, jego nazwa zostanie zmieniona na 1.mp4.id-9CFA2D20.[geniusid@protonmail.ch].GNS lub podobnie. Następnym etapem po zaszyfrowaniu jest przedstawienie ofiarom szczegółowych instrukcji dotyczących procesu deszyfrowania. Są one włączone do FILES ENCRYPTED.txt plik lub wyskakujące okienko pojawiające się po zaszyfrowaniu. Wybór płacenia okupu jest również ogromnym ryzykiem, ponieważ większość ludzi zostaje oszukana iw rezultacie nie otrzymuje obiecanych narzędzi. Nasz przewodnik poniżej nauczy Cię, jak radzić sobie z takimi infekcjami, jak GNS i stworzyć lepszą glebę do ochrony w przyszłości.

Oprogramowanie ransomware Oled-Makop to rodzaj wirusa, który ma na celu zaszyfrowanie wielu plików i żądanie zapłaty za oprogramowanie deszyfrujące. Wszystkie te symptomy są częścią operacji ransomware. Po zainstalowaniu jest skonfigurowany do szyfrowania różnego rodzaju danych, od filmów, obrazów, plików tekstowych, plików PDF po inne. Następnie izolowane pliki podlegają kilku zmianom: po pierwsze, zmieniają swoje rozszerzenia na .[e-mail@mail.cc].oled or .[e-mail@mail.cc].makop (.[somalia555@tutanota.com].makop) i zresetować ich ikony do czystych kart. Na przykład normalny 1.mp4 zostanie przekształcony w 1.mp4.[makop@airmail.cc].makop bezpośrednio po penetracji. Następnie program tworzy żądanie okupu, tzw plik readme-warning.txt, gdzie programiści wyjaśniają, dlaczego Twoje dane zostały zablokowane i jak je odzyskać. Aby zdobyć ich zaufanie, oferują odszyfrowanie jednego prostego pliku z rozszerzeniami .jpg, .xls i .doc (nie większym niż 1 MB) poprzez wysłanie go za pośrednictwem podanego e-maila, a także dokonanie płatności w celu uzyskania „skanera- program dekodera. Bardzo często odszyfrowanie za pomocą narzędzi stron trzecich jest niemożliwe bez udziału twórców malware. Nie oznacza to jednak, że musisz dawać im pieniądze, ponieważ istnieje ryzyko, że nie dotrzymają obietnic. Zamiast tego powinieneś usunąć Oled-Makop Ransomware ze swojego komputera, aby zapewnić większe bezpieczeństwo i odzyskać utracone dane z zewnętrznej kopii zapasowej, jeśli to możliwe.

Szafka Ragnara to złośliwy program sklasyfikowany jako ransomware, który szyfruje dane osobowe i wyłącza działanie zainstalowanych programów, takich jak ConnectWise i Kaseya, które zapewniają rozwiązania dla wielu usług Windows, w tym odzyskiwanie danych, ochronę przed oprogramowaniem ransomware i inne sposoby zabezpieczenia prywatności. Ma to na celu osłabienie zdolności systemu do zwalczania infekcji ransomware. W rzeczywistości nie zauważysz tych zmian, a Twoje dane zostaną natychmiast zablokowane. Sposób, w jaki Ragnar Locker szyfruje pliki użytkownika, polega na przypisaniu rozszerzenia ragnar (lub .ragn@r) rozszerzenie z losowymi znakami. Na przykład oryginalny plik o nazwie 1.mp4 zostanie zmieniony na 1.mp4.ragnar_0FE49CCB i zresetuj również jego ikonę. Po zakończeniu procesu szyfrowania Ragnar Locker tworzy plik tekstowy o nazwie zgodnej z kombinacją używaną do zaszyfrowanych plików (RGNR_0FE49CCB.txt). Niestety, próba użycia narzędzi innych firm do odszyfrowania może uszkodzić dane i doprowadzić do ich trwałej utraty. Dlatego najlepszym sposobem na bezpłatne odzyskanie plików jest usunięcie Ragnar Locker Ransomware i przywrócenie zablokowanych plików z kopii zapasowej (pamięć USB), jeśli to możliwe.

CONTI to wirus typu ransomware, który szyfruje dane użytkownika i blokuje je do momentu zapłacenia okupu. Niektórzy eksperci ds. bezpieczeństwa wskazują, że może to być następca lub Ransomware Ryuk. Podczas szyfrowania wszystkie pliki, w tym zdjęcia, filmy, dokumenty i inne zwykłe dane, zostaną zmienione przy użyciu nowego .CONTI rozbudowa. Oznacza to, że pliki, których dotyczy problem, będą wyglądać 1.mp4.CONTI lub podobnie w zależności od pierwotnej nazwy. Po pomyślnym zaszyfrowaniu następuje plik tekstowy (CONTI_README.txt), który jest upuszczany na pulpit ofiar. W tej chwili odszyfrowanie plików za darmo za pomocą dodatkowych narzędzi jest prawie nierealne. Jeśli to możliwe, możesz przywrócić dane z magazynu kopii zapasowych utworzonego przed infekcją. Tak czy inaczej, zalecamy pozbycie się CONTI Ransomware, aby zapobiec dalszemu szyfrowaniu.