Ransomware

Xoryst-zaszyfrowany rzucił nieco światła na świat oprogramowania ransomware kilka lat temu i nadal atakuje użytkowników do dziś. Będąc częścią rodziny Xorist, szyfruje dane za pomocą algorytmów XOR lub TEA i przypisywania .ZASZYFROWANE rozszerzenie do wszystkich plików. Na przykład, 1.mp4 poniesie zmianę na 1.mp4.szyfrowane. Jeśli spróbujesz otworzyć którykolwiek z zainfekowanych plików, zobaczysz wyskakujące okienko z informacją o okupie. W przeciwieństwie do innych ransomware, jego twórcy proszą ofiary o wysłanie wiadomości SMS na wspomniany numer. Poza tym wirus upuszcza plik tekstowy o nazwie HOW TO DECRYPT FILES.txt który jest identyczny z wyskakującym okienkiem. Jeśli nie uda Ci się wprowadzić kodu w ciągu 5 prób, Twoje pliki zostaną całkowicie usunięte, jak twierdzą szantażyści. Gdy to zrobisz, bardziej prawdopodobne jest, że otrzymasz link oparty na przeglądarce, aby zapłacić za oprogramowanie do odszyfrowania. Jednak nie ma potrzeby spełniania żądań okupu, ponieważ Fabian Wosar z Emsisoft znalazł sposób na odszyfrowanie plików zaszyfrowanych przez Xorist.

Locky to wirus ransomware, który szyfruje pliki przy użyciu algorytmów RSA-2048 i AES-1024 i żąda 0.5 BTC (bitcoinów) (równowartość 207 USD) za otrzymanie „Locky Decrypter”, aby umożliwić użytkownikowi odszyfrowanie jego dokumentów i obrazów. Jest to bardzo niebezpieczny wirus szantażujący i obecnie istnieje tylko kilka sposobów na odszyfrowanie plików. W tym przewodniku zebraliśmy wszystkie dostępne informacje, które mogą pomóc w usunięciu wirusa ransomware Locky i przywróceniu zainfekowanych plików.

Oprogramowanie ransomware RedRum to złośliwy program, który szyfruje twoje dane i żąda zapłacenia okupu. Gdy penetracja zakończy się sukcesem, wszystkie przechowywane dane, w tym obrazy, filmy i pliki tekstowe, zostaną zaszyfrowane .redrum or Grinch (kolejna wersja rodziny RedRum). Przykład, jeśli 1.mp4 został zaatakowany przez tego wirusa, przekształci się w 1.mp4.redrum or 1.mp4.griinch. Jak tylko szyfrowanie się zakończy, RedRum upuści plik tekstowy (decryption.txt) z informacjami o okupie. Zgodnie z notatką dostarczoną przez RedRum, powinieneś zapłacić za klucz deszyfrujący. W tym celu należy wysłać im wiadomość e-mail i uzyskać dalsze instrukcje. Niestety, oprogramowanie ransomware jest rzeczywiście bardzo uparte i nie daje żadnych oznak ulgi ze względu na silne algorytmy, które sprawiają, że proces odszyfrowywania jest prawie niemożliwy. Jednak z pewnością powinieneś usunąć go z komputera, aby chronić inne pliki i zastosować wszystkie niezbędne środki, aby nie dopuścić do tego ponownie.

Jeśli nie możesz otworzyć plików, bardziej prawdopodobne jest to, ponieważ Oprogramowanie ransomware Hakbit zaatakował twój komputer. Twórcy tego kawałka wykorzystują algorytmy AES do szyfrowania przechowywanych danych (np. obrazów, filmów, dokumentów, plików tekstowych itp.). Innymi słowy, wszystko, co znajduje się na twoich dyskach, zostanie całkowicie zablokowane. Istnieje kilka rozszerzeń używanych przez Hakbit do zmiany plików - .zaszyfrowany, spustoszenie, .część or .gesd. Przykłady zaszyfrowanych plików wyglądają tak 1.mp4.zaszyfrowany, 1.jpg.zniszczenie, 1.doc.część or 1.xls.gesd. Następnie Hakbit upuszcza plik tekstowy o nazwie HELP_ME_RECOVER_MY_FILES.txt i tapeta.bmp, która w niektórych przypadkach zastępuje tapety pulpitu. Oba zawierają informacje o tym, jak odzyskać pliki. Aby to zrobić, użytkownicy powinni zapłacić 300 USD w Bitcoinach za pośrednictwem załączonego adresu i dzwonić do twórców za pośrednictwem poczty elektronicznej. Niestety, zakup oprogramowania deszyfrującego to jedyny sposób na odszyfrowanie danych, ponieważ żadne z narzędzi innych firm nie może sobie z tym poradzić. Jednak zdecydowanie odradzamy wydawanie pieniędzy na to, ponieważ nie ma gwarancji, że Twoje dane zostaną przywrócone.

Znany także jako Mimika, Oprogramowanie ransomware ShivaGood nie ma żadnych dobrych intencji, ponieważ jest przeznaczony do szyfrowania danych użytkowników i żądania zapłaty okupu w bitcoinach. Ten złośliwy program wykorzystuje specjalne algorytmy kryptograficzne i przypisuje rozszerzenie ".good" wielu plikom (plikom PDF, dokumentom, obrazom, filmom itp.). Na przykład, 1.mp4 zostanie zmieniona na 1.mp4.dobrzei podobnie. Gdy ShivaGood zakończy procedurę szyfrowania, utworzy plik tekstowy o nazwie HOW_TO_RECOVER_FILES.txt. Ta notatka zawiera informacje o szyfrowaniu danych. Aby go odszyfrować, szantażyści proszą o skontaktowanie się z nimi za pośrednictwem poczty e-mail i dołączenie osobistego identyfikatora, który jest również wymieniony w notatce. Po zakończeniu oszustwa skontaktują się z Tobą z instrukcjami dotyczącymi płatności, aby uzyskać klucz odszyfrowywania. Dodatkowo cyberprzestępcy proponują odblokowanie 3 plików (mniej niż 10 MB) za darmo. Jest to sztuczka, aby udowodnić ich integralność, ponieważ rzeczywistość może się znacznie różnić. Mogą po prostu wyłudzić pieniądze i zapomnieć o swoich obietnicach.

Żołnierz Ransomware to złośliwy program, który szyfruje dane użytkownika i wyłudza jego pieniądze w celu odszyfrowania plików. Po raz pierwszy został odkryty przez badacza bezpieczeństwa Amigo-A. Podczas procesu szyfrowania wszystkie pliki są zmieniane z rozszerzeniem .xsmb rozszerzenie dołączane na końcu pliku. Na przykład coś w stylu 1.mp4 zmieni nazwę na 1.mp4.xsmb i zresetuj jego ikonę. W końcu ransomware generuje plik tekstowy (kontakt.txt) lub obraz (kontakt.png) na pulpicie ofiary. Jak stwierdzono w tych plikach, użytkownicy muszą wysłać 0.1 BTC lub 4 ETH za pośrednictwem połączonego adresu. Dodatkowo możesz wysłać do 3 plików na ich adres e-mail w celu bezpłatnego odszyfrowania. Warto również wspomnieć, że Soldier Ransomware wydaje się być tworzone i obsługiwane przez jedną osobę, jak sugeruje notatka. Niestety, Soldier Ransomware jest niemożliwe do odszyfrowania bez udziału cyberprzestępców.

zrozumiałem jest inną formą Dharma rodzina, która szyfruje dane za pomocą niełamliwych szyfrów i żąda od ofiar zapłacenia okupu. Kiedy infiltruje Twój system, wszystkie przechowywane dane zostaną zmienione na identyfikator ofiary, adres e-mail cyberprzestępcy i .zrozumiałem rozbudowa. Aby to zilustrować, plik taki jak 1.mp4 uaktualni do 1.mp4.id-1E857D00.[helpdecoder@firemail.cc].ROGER". Należy pamiętać, że identyfikatory i adresy e-mail mogą się różnić indywidualnie. Po zakończeniu szyfrowania plików wirus utworzy plik tekstowy o nazwie FILES ENCRYPTED.txt na twoim pulpicie. W tej notatce ludzie mogą zapoznać się z krokami odblokowania swoich danych. W tym celu powinieneś kliknąć załączony link w przeglądarce Tor, a oni skontaktują się z tobą w ciągu 12 godzin, aby poinstruować cię o zakupie ich oprogramowania deszyfrującego. Jeśli nie, powinieneś napisać do nich, korzystając z zapasowego adresu e-mail. Niestety, płacenie za oprogramowanie może być pułapką, która narazi Twoje finanse na ryzyko.

Ransomware PwndLocker to wirus szyfrujący pliki stworzony do atakowania sieci biznesowych i samorządów lokalnych. Jednak zwykli użytkownicy również mogą stać się ofiarami cyberprzestępców. Po penetracji PwndLocker uszkadza ustawienia wielu usług systemu Windows i szyfruje zarówno dane wewnętrzne, jak i dane sieciowe, zmieniając rozszerzenia i tworząc żądanie okupu. Liczba przypisanych rozszerzeń może się różnić w zależności od formatu pliku. Wirus używa .ProLock, .pwnd or .key rozszerzenia, jednak nie ma sensu, który z nich zmienił twoje pliki, ponieważ implementują tę samą funkcję. Na przykład w niektórych przypadkach oryginał 1.mp4 zostanie przekształcony w 1.mp4.ProLock. W innych scenariuszach dane, których dotyczy problem, mogą mieć rozszerzenia „.pwnd” lub „.key”. Żądanie okupu (H0w_T0_Rec0very_Files.txt), który został upuszczony na pulpit, sugeruje, że twoja sieć została przeniknięta i zaszyfrowana silnymi algorytmami.