Ransomware

Znany także jako FonixCrypter, Ransomware Fonix jest infekcją, która wykorzystuje algorytmy Salsa20 i RSA 4098 w celu ograniczenia dostępności danych. Szyfruje przechowywane pliki w różnych formatach - zdjęcia, filmy, dokumenty, pliki audio i inne, które wydają się być cenne dla zwykłych użytkowników. Podczas procesu szyfrowania wirus przypisuje złożone rozszerzenia, w tym e-mail cyberprzestępców, osobisty identyfikator i .fonix rozszerzenie na koniec. Niektóre wersje Fonix wykorzystują inne rozszerzenia, takie jak Repter i .XINOF. Na przykład plik podobny do 1.mp4 zostanie przekształcony w 1.mp4.EMAIL=[fonix@tuta.io]ID=[1E857D00].Fonix i zresetuj również jego skrót. Mówi się, że żadne narzędzia stron trzecich nie będą w stanie odszyfrować twoich plików, ponieważ ich klucz jest przechowywany na serwerach cyberprzestępców. Zamiast tego programiści proponują ci zakup klucza deszyfrującego w Bitcoin. Jeśli nie zrobisz tego w ciągu 2 dni, Twoja opłata zostanie natychmiast podwojona. Oferują również szczegółowe informacje na temat wymiany pieniędzy na BTC, jeśli nigdy wcześniej tego nie robiłeś. Jako bonus pocieszenia, szantażyści zapewniają odszyfrowanie 1 małego pliku za darmo. Mimo to płacenie za klucz jest niebezpieczne, ponieważ, jak mówią statystyki, mają tendencję do ogłupiania naiwnych użytkowników. Niestety prawdą jest, że nie ma realnych metod na odblokowanie plików zaszyfrowanych przez Fonix Ransomware. Najlepszym sposobem na przywrócenie go jest użycie zewnętrznej kopii zapasowej utraconych plików, jeśli to możliwe.

Oprogramowanie ransomware HE-HELP (Ransomware Normanzak) to rodzaj złośliwego oprogramowania, które szyfruje pliki użytkowników lub właścicieli firm. Ransomware jest uważany za najbardziej niebezpieczny element, ponieważ twoje pliki są blokowane na zawsze, chyba że zapłacisz im określoną opłatę. Niestety, ponieważ HE-HELP pojawił się w czerwcu 2020 r., eksperci ds. bezpieczeństwa nie znaleźli cracka do darmowego odszyfrowania danych użytkowników. Podobnie jak inne infekcje, wirus przypisuje nowe rozszerzenia normalnym plikom ._ON or ._WSPARCIE. Na przykład, 1.mp4 pojawi się jak 1.mp4._HE lub podobnie po zakończeniu procesu szyfrowania. Następnie ransomware uruchamia automatyczne otwarcie pliku tekstowego o nazwie CZYTAJ_ME_.txt, który jest upuszczany na pulpit ofiary. W tej notatce użytkownicy mogą zobaczyć raport dotyczący szyfrowania, w tym instrukcje dotyczące przywracania danych. Mówią, że powinieneś skontaktować się z nimi za pośrednictwem jednego z załączonych e-maili i podać nazwę swojej firmy. Cyberprzestępcy oferują również bezpłatną opcję odszyfrowania do 3 plików jako dowód ich uczciwości. Ponadto przerażają cię groźbami publikowania twoich danych na całym świecie. Jeśli jednak nie masz się czym martwić, możesz po prostu usunąć go ze swojego komputera. W innych przypadkach nie ma wykonalnej opcji odzyskania plików, których dotyczy problem, za pomocą narzędzi stron trzecich. Tak czy inaczej, zalecamy odczekać trochę czasu, aż eksperci ds. bezpieczeństwa znajdą sposób na poradzenie sobie z HE-HELP Ransomware.

PL to infekcja ransomware wykryta niedawno przez cyber-ekspertów. Złośliwe oprogramowanie tego typu szyfruje pliki i żąda opłaty za ich odzyskanie. Twórcy PL Ransomware po prostu przypisują .encoded_PL, w przeciwieństwie do innych, które używają złożonych kombinacji numerów identyfikacyjnych z losowymi znakami. Na przykład plik taki jak 1.mp4 zostanie zmieniony na 1.mp4.encoded_PL i zresetuj również jego ikonę. Następnie skrypt ransomware tworzy notatkę tekstową (!ALL_YOUR_FILES_ARE_ENCRYPTED), który wyjaśnia, jak odszyfrować dane. Aby to zrobić, powinieneś skontaktować się z nimi za pośrednictwem poczty e-mail, aby uzyskać dalsze instrukcje dotyczące zakupu klucza deszyfrującego. Zapewnia również możliwość bezpłatnego przywrócenia kilku plików w celu udowodnienia ich integralności. Niestety, badania wciąż trwają, ponieważ eksperci ds. bezpieczeństwa nie znaleźli jeszcze sposobu na odszyfrowanie plików. Możemy jednak pomóc w odinstalowaniu PL Ransomware w celu zapewnienia dalszej ochrony w poniższym artykule.

Outsider to rodzina ransomware, która opracowała wiele wersji złośliwego oprogramowania szyfrującego pliki. Ta konkretna wersja (Outsider) szyfruje pliki znajdujące się na serwerach i komputerach użytkowników. Niedawno Outsider został zidentyfikowany jako GarrantyDecrypt-Outsider ponieważ wygląda bardzo podobnie do innego oprogramowania ransomware o nazwie GwarancjaOdszyfruj z drobnymi różnicami. Zakres rozszerzeń, które można przypisać do zaszyfrowanych plików obejmuje .chroniony, gomer, .edab, .krypta, popotic1, popoticus, .strażnik, .ostrożny, mapo, sivo, .mbit. Dla zilustrowania, oryginalny plik 1.txt zostanie zmieniony na 1.txt.chroniony lub podobnie. Następnie wirus tworzy zwykły plik txt o nazwie HOW_TO_RESTORE_FILES.txt.

Bycie częścią Dharma rodzina, Oprogramowanie ransomware Dharma-Pgp to niebezpieczna infekcja, która blokuje twoje dane i żąda zapłaty okupu. Podczas procesu szyfrowania wszystkie pliki są zmieniane zgodnie z tym wzorcem 1.mp4.id-1E857D00[openpgp@foxmail.com].pgp. Następnie ransomware tworzy plik tekstowy o nazwie FILES ENCRYPTED.txt reprezentujących notatki szyfrujące. W tej notatce użytkownicy są ostrzegani przed używaniem narzędzi stron trzecich, ponieważ mogą one prowadzić do trwałej utraty. Aby odkupić swoje pliki, powinieneś skontaktować się z cyberprzestępcami za pośrednictwem poczty e-mail, załączyć osobisty identyfikator podany w notatce i ostatecznie zapłacić za oprogramowanie deszyfrujące. Możesz również spróbować odszyfrować testowo, wysyłając jeden mały plik, który musi być mniejszy niż 1 MB i również nie może być zarchiwizowany.

Kupidon to rodzaj krypto-złośliwego oprogramowania, które pojawiło się 5 maja 2020 r. To ransomware szyfruje różne pliki, w tym obrazy, archiwa ZIP, pliki tekstowe, dokumenty i inne zwykłe dane. Aby wyróżnić je z oryginalnych plików, dodaje rozszerzenie Kupidon rozszerzenie na końcu każdego pliku. Na przykład, 1.mp4 który wcześniej nie był szyfrowany, zostanie przywrócony 1.mp4.kupidon po zaszyfrowaniu. Po pomyślnym zaszyfrowaniu wirus upuszcza plik tekstowy o nazwie !KUPIDON_DECRYPT.txt które odzwierciedlają informacje o okupie. Aby odzyskać swoje pliki, powinieneś podjąć bardzo trudną decyzję - zapłacić 1200 $ (dla użytkowników komercyjnych) lub 300 $ (dla zwykłych) w BTC, co jest nieosiągalne dla wielu osób. Aby zakończyć płatność, zostaniesz poproszony o otwarcie załączonego linku w przeglądarce Tor i postępowanie zgodnie z instrukcjami wyświetlanymi na ekranie. W każdym razie zaufanie cyberprzestępcom i zapłacenie okupu jest ryzykowne, zwłaszcza gdy przekracza on wszelkie limity. Kupidon Ransomware również wykorzystuje sprytną sztuczkę - pozwala użytkownikom odszyfrować do 3 plików (nie więcej niż 10 MB), wysyłając je na ich adres e-mail.

Avadon to infekcja typu ransomware wykryta przez GrujaRS. Wzmacnia swoje szyfrowanie algorytmami AES i RSA, aby zwykli użytkownicy nie mogli odblokować swoich danych. Pliki, których dotyczy problem, zostaną zmienione za pomocą rozszerzenia .avdn rozszerzenie przypisane na końcu. Na przykład plik podobny do 1.mp4 doświadczy natychmiastowej zmiany po zaszyfrowaniu na 1.mp4.avdn. Ta zmiana powoduje, że plik staje się niedostępny i wymaga zapłacenia okupu w celu jego odszyfrowania. Instrukcje jak to zrobić znajdują się w pliku HTML ("[losowe_liczby]-readme.html"), który jest generowany po zakończeniu procesu szyfrowania.

HR to złośliwy program sklasyfikowany jako ransomware, który infekuje użytkowników za pośrednictwem serwerów NAS. W rzeczywistości oprogramowanie ransomware jest tworzone w celu zarabiania pieniędzy poprzez szyfrowanie danych i żądanie okupu. Podobnie jak inne złośliwe oprogramowanie do szyfrowania plików, HR blokuje różne pliki i przypisuje .hr rozbudowa. Następnie wirus upuszcza plik tekstowy (RANSOM_NOTE.txt) na pulpicie, aby powiadomić, że dane zostały zaszyfrowane. Wyświetla również listę kroków, które należy wykonać, aby przywrócić pliki. Poniższa informacja mówi, że należy zakupić specjalny klucz, który kosztuje 0.1130 BTC (1030 $). Po zakończeniu płatności zostaniesz poproszony o przesłanie im swojego numeru identyfikacyjnego za pomocą załączonego e-maila, aby sprawdzić, czy dokonałeś płatności, czy nie. Co więcej, szantażyści twierdzą, że korzystanie z narzędzi deszyfrujących stron trzecich jest bezużyteczne, ponieważ są one przestarzałe i nie radzą sobie z szyframi generowanymi przez ich ransomware. Próbują cię przekonać, że cię nie oszukają i bezpiecznie przywrócą twoje pliki.