Ransomware

Phobos to oszukańcza organizacja, która wygłosiła mocne oświadczenie w świecie ransomware. Od 2017 roku zgromadził swoją kolekcję w wielu różnych odmianach, w tym ostatnich Osiem ransomware, Usuń ransomware, Oprogramowanie ransomware, Oprogramowanie ransomware ISO. Podobnie jak w przypadku innych ransomware, jego twórcy postanowili zastosować bardziej tradycyjny proces szyfrowania. Skanuje system w poszukiwaniu różnych formatów plików, takich jak dokumenty MS Office, OpenOffice, PDF, pliki tekstowe, bazy danych, obrazy, filmy i inne. Po zakończeniu zostanie skonfigurowany do szyfrowania zgodnie z tą formułą 1.mp4.[ID-losowy-identyfikator-użytkownika].[e-mail-cyberprzestępców].{rozszerzenie}. W zależności od wersji, która zaatakowała twój komputer, rozszerzenia mogą się różnić .osiem, .wyrzucać, .ekinglub . Iso. Oto kilka próbek zainfekowanych plików: 1.mp4.id[XXXXXXXX-2776].[use_harrd@protonmail.com].eight; 1.jpg.id[XXXXXXXX-2833].[cynthia-it@protonmail.com].eject; 1.doc.id[XXXXXXXX-2275].[decphob@tuta.io].eking;1.jpg.id[XXXXXXXX-2589].[backup.iso@aol.com].iso. Po zakończeniu szyfrowania użytkownikom wyświetlany jest plik tekstowy (info.txt or info.hta), który wyjaśnia, jak odszyfrować dane.

Major to wirus szyfrujący pliki sklasyfikowany jako ransomware. Po zainstalowaniu szyfruje wszystkie pliki przechowywane w systemie, które pozostają odblokowane do momentu zapłacenia okupu. Najnowsza wersja zjadliwego programu dodaje nowość .Powietrze rozszerzenie każdego pliku, które na końcu składa się z unikalnego numeru identyfikacyjnego i adresu e-mail intruzów. Po zaszyfrowaniu zadany plik wyglądałby tak: 1.mp4.33868453691972502380.ex_parvis@aol.com.AIR. Wcześniej oprogramowanie ransomware wykorzystywało: .onix, .sześcian, .Mars, Orion i .dziedzictwo rozszerzenia o podobnym wzorcu nazewnictwa. Po zakończeniu procesu program utworzy zatem plik HTML lub plik tekstowy (READ_ME.txt, TRY_TO_READ.html) i zmień tapetę pulpitu.

Ransomware DeathHiddenTear to wirus szyfrujący pliki odkryty przez Michaela Gillespiego. Będąc sklasyfikowanym jako ransomware, szyfruje wszystkie dane (np. obrazy, filmy, pliki tekstowe itp.), które są przechowywane na komputerze lub innych urządzeniach zewnętrznych, takich jak fiszki podłączone do komputera. Ransomware ma na celu żądanie okupu, który należy zapłacić, aby odzyskać pliki. Podobnie jak inne oprogramowanie ransomware, DeathHiddenTear przypisuje .szyfrowaneS (dla małych plików) i .szyfrowaneL (do dużych plików) rozszerzenia. Najnowsze odmiany wykorzystują .enc przyrostek. Aby zilustrować, po zaszyfrowaniu 1.mp4 będzie zostać przemienionym w 1.mp4.szyfrowaneS i uniemożliwia otwieranie tych plików. Następnie program upuści plik tekstowy (Odszyfruj instrukcje.txt) na pulpit, który zawiera informacje o zablokowanych danych.

Skarabeusz-niebezpieczeństwo to wirus typu ransomware, który szyfruje dane i wyłudza pieniądze od swoich ofiar. Po penetracji przypisuje nowy .zagrożenie rozszerzenie do każdego zaszyfrowanego pliku. Na przykład oryginał 1.mp4 zostanie zmieniony na 1.mp4.niebezpieczeństwo. Poza tym Scarab-Danger zawsze aktualizuje, dodając nowe rozszerzenia, takie jak cale, btchelp@xmpp.jp, .fastrecovery@xmppp, .fastrecovery@xmpp.jp, .online24files@poczta lotnicza.cc i wiele innych. Zasadniczo nie ma znaczenia, który z nich zastąpił twój plik, ponieważ wszystkie służą do tego samego celu. Po tym, jak wirus pomyślnie zablokuje twoje dane, upuszcza plik tekstowy z informacjami o okupie. W większości przypadków jest to tzw JAK ODZYSKAĆ ​​ZASZYFROWANE PLIKI.TXT.

Oprócz kierowania reklam do zwykłych użytkowników, Kazkawkowkiz aka NetWalker znany jako Poczta skupia się również na liczbach biznesowych. Podobnie jak inne oprogramowanie ransomware, szyfruje dane, przypisując unikalne rozszerzenie i w rezultacie upuszczając plik tekstowy. Jednak zamiast korzystać z jednego wspólnego rozszerzenia, generuje różne wersje według tych wzorców – .mailto[kkeessnnkkaa@cock.li].{losowa-sekwencja-alfanumeryczna}, .mailto[sevenoneone@cock.li].{losowa-sekwencja-alfanumeryczna} or .mailto[kazkavkovkiz@cock.li].{losowa-sekwencja-alfanumeryczna}. Na przykład osoby, które nie są dotknięte 1.mp4 przeniesie się do .mailto[kazkavkovkiz@cock.li].14b1 lub podobnie. W notatce ofiary są informowane, że ich pliki zostały mocno zaszyfrowane i wymagają szybkiej decyzji, w przeciwnym razie znikną na zawsze. Złoczyńcy od początku używali następującego wzorca nazewnictwa dla żądania okupu {losowy identyfikator}-Readme.txt.

Bit blokady to zagrożenie typu ransomware, które atakuje dane użytkownika za pomocą algorytmów szyfrowania i blokuje je, dopóki nie zapłacą okupu. Aby to zrobić, zmienia tytuły plików z rozszerzeniem .blokada, .lock2bity or .abcd rozszerzenia. Po zakończeniu szkodliwy program wygeneruje plik tekstowy o nazwie Restore-My-Files.txt. Ten plik zawiera niezbędne kroki, które ofiary muszą wykonać, aby odszyfrować swoje dane. Po pierwsze, musisz skontaktować się z cyberprzestępcami za pośrednictwem ich poczty e-mail, a następnie poinstruują cię, jak zapłacić za oprogramowanie deszyfrujące. Poza tym możesz wysłać im dowolny zablokowany plik (nie większy niż 1 MB), aby mogli pokazać, że można im zaufać. Mimo to nie zaleca się kupowania czegoś od szantażystów, ponieważ wielokrotnie zdarzało się, że ci nie dotrzymywali obietnic i oszukiwali łatwowiernych użytkowników.

Oprogramowanie ransomware CryLock dosłownie zmusza użytkowników do płaczu z powodu ich danych, które zostały zaszyfrowane po nagłej penetracji. Będąc odmianą Oprogramowanie ransomware Cryakl, jest to jeden z wirusów tego typu, który wykorzystuje algorytmy kryptograficzne do zapewnienia silnego szyfrowania i żądania zapłaty okupu. W przeciwieństwie do innych programów ransomware, które używają jednego wspólnego rozszerzenia dla każdego pliku, ten konkretny program przypisuje plikom, których dotyczy problem, nową nazwę, która składa się z adresu e-mail cyberprzestępcy, osobistego identyfikatora ofiary i losowego trzycyfrowego rozszerzenia. Na przykład niezainfekowane 1.mp4 zostanie zmieniony na 1.mp4[grand@horsef***er.org][512064768-1578909375].ycs, 2.mp4[grand@horsef***er.org][512064768-1578909375].wkmi podobnie. Niektóre ofiary doświadczyły takiej zmiany 1.mp4[reddragon3335799@protonmail.ch][sel1].[7478ECA4-42759A9D]. Po zakończeniu procesu CryLock wyświetli okno przed ofiarami, które zawiera szczegóły dotyczące okupu.

Jeśli nie posiadasz odpowiedniego oprogramowania do obrony przed ColdLock Ransomware na czas, Twoje pliki mogą być już zaszyfrowane za pomocą .zablokowany rozbudowa. Na przykład oryginał 1.mp4 został zmieniony na 1.mp4.zablokowany gdy oprogramowanie ransomware dotknie swojej konfiguracji algorytmami RSA. W większości przypadków odszyfrowanie plików za pomocą narzędzi innych firm jest niemożliwe i może być dla nich niebezpieczne. To dlatego szantażyści zmuszają cię do kupowania ich oprogramowania, postępując zgodnie z instrukcjami zawartymi w pliku o nazwie Jak odblokować pliki.txt który jest tworzony po zaszyfrowaniu. Niestety zakup klucza deszyfrującego może narazić twoje finanse na ryzyko, ponieważ działalności cyberprzestępczej nie można ufać. Zamiast tego usuń ColdLock Ransomware, aby zapobiec dalszemu szyfrowaniu i spróbuj odszyfrować dane, których dotyczy problem, zgodnie z poniższymi instrukcjami.