Poradniki

Press Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania krypto-ransomware, którego zadaniem jest szyfrowanie danych na zainfekowanych komputerach, uniemożliwiając użytkownikom dostęp do plików. Następnie napastnicy żądają zapłaty okupu w zamian za klucz odszyfrowujący, który umożliwi ofiarom odzyskanie dostępu do zaszyfrowanych plików. Po zaszyfrowaniu plików dołącza się Press Ransomware .press, .dwarf or .spfre rozszerzenia nazw plików, dzięki czemu można je łatwo zidentyfikować. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.press po szyfrowaniu. Konkretny algorytm szyfrowania używany przez Press Ransomware nie jest szczegółowo opisany w dostarczonych wynikach wyszukiwania, ale tego typu złośliwe oprogramowanie często korzysta z solidnych metod szyfrowania, takich jak AES lub RSA, aby zapobiec nieautoryzowanemu odszyfrowaniu. Po zakończeniu procesu szyfrowania Press Ransomware upuszcza list z żądaniem okupu o nazwie RECOVERY NFO.txt na komputerze ofiary. Ta notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i że wydobyto wrażliwe dane. Napastnicy grożą sprzedażą lub ujawnieniem skradzionych treści w Internecie, jeśli okup nie zostanie zapłacony. Notatka oferuje również ofierze możliwość wysłania kilku zaszyfrowanych plików do atakującego w celu bezpłatnego odszyfrowania jako dowód, że potrafi on odszyfrować pliki.

DiskStation Security Ransomware to rodzaj złośliwego oprogramowania, którego celem są urządzenia Synology NAS (Network Joint Storage), które są często używane do przechowywania dużych ilości danych, w tym kopii zapasowych i plików osobistych. Głównym celem tego ransomware, podobnie jak innych, jest szyfrowanie plików w zainfekowanym systemie i żądanie okupu od ofiary w zamian za klucz deszyfrujący. Rozszerzenia plików, na które atakuje oprogramowanie ransomware DiskStation Security, nie są szczegółowo opisane w dostarczonych wynikach wyszukiwania. Jednak oprogramowanie ransomware zazwyczaj atakuje szeroką gamę typów plików, zwłaszcza tych związanych z ważnymi dokumentami, obrazami, filmami i bazami danych. Nie określono również używanej metody szyfrowania, ale oprogramowanie ransomware powszechnie stosuje AES (Advanced Encryption Standard) ze względu na jego niezawodność. Po zaszyfrowaniu ransomware dodaje losowe rozszerzenia do plików. Po pomyślnym zaszyfrowaniu plików oprogramowanie ransomware zazwyczaj pozostawia notatkę z żądaniem okupu (!!Read Me!!.txt) na pulpicie lub w odpowiednich katalogach. Notatka ta zawiera instrukcje dla ofiary dotyczące sposobu zapłaty okupu i często zawiera groźby zniszczenia lub ujawnienia danych w przypadku niespełnienia żądań.

RCRU64 Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za klucz deszyfrujący. Rozprzestrzenia się głównie poprzez załączniki do wiadomości e-mail w atakach typu phishing, pobieranie złośliwego oprogramowania i wykorzystywanie luk w zabezpieczeniach, w szczególności poprzez słabe hasła protokołu Remote Desktop Protocol (RDP). RCRU64 zmienia nazwy zaszyfrowanych plików, dodając identyfikator ofiary, adres e-mail i określone rozszerzenie. Znane rozszerzenia związane z RCRU64 obejmują .HM8 i inne warianty, takie jak „.TGH”, „.03rK”, „.q6BH” i „.IalG. Oprogramowanie ransomware wykorzystuje silne algorytmy szyfrowania do blokowania plików na zainfekowanym komputerze. Chociaż szczegółowe informacje na temat metody szyfrowania nie są podane w wyników wyszukiwania, oprogramowanie ransomware zazwyczaj wykorzystuje kombinację szyfrowania symetrycznego (np. AES) i asymetrycznego (np. RSA) w celu zabezpieczenia plików, przez co odszyfrowanie bez klucza jest prawie niemożliwe. RCRU64 tworzy notatki z żądaniem okupu o nazwie Restore_Your_Files.txt i ReadMe.hta, które informują ofiary, że ich pliki zostały zaszyfrowane i zawierają instrukcje dotyczące płatności. Notatki ostrzegają przed samodzielnymi próbami odszyfrowania plików i oferują odszyfrowanie kilku plików jako dowód przed dokonaniem płatności.

Proton jest infekcją ransomware. Celem tego wirusa jest szyfrowanie potencjalnie krytycznych fragmentów danych, a następnie żądanie pieniędzy za ich całkowite odszyfrowanie. Robiąc to, Proton zmienia również pliki wizualnie – plik, którego to dotyczy, z funkcją pobierania kigatsu@tutanota.com adres e-mail, identyfikator ofiary i .Proton or .kigatsu rozszerzenie do zaszyfrowanych plików. Na przykład plik taki jak 1.pdf zmieni się, aby wyglądać jak 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Po tej zmianie ofiary nie będą już mogły uzyskać dostępu do swoich plików, bez względu na to, jakie modyfikacje zostaną wprowadzone. Po tym wirus upuszcza plik README.txt notatka tekstowa zawierająca instrukcje odszyfrowania. Mówi się, że dane ofiary zostały zaszyfrowane (przy użyciu algorytmów AES i ECC) i skradzione przez cyberprzestępców. Słowo „skradziony” prawdopodobnie sugeruje, że zaszyfrowane dane zostały skopiowane na serwery cyberprzestępców i mogą zostać wykorzystane w dowolnym momencie, chyba że zapłacą okup. Przestępcy zachęcają swoje ofiary do skontaktowania się z nimi za pośrednictwem telegramu lub poczty elektronicznej i zakupu usługi deszyfrowania. Ponadto ofiary mogą również wysłać jeden plik (mniejszy niż 1 MB) i bezpłatnie go odszyfrować. W ten sposób cyberprzestępcy demonstrują swoją wiarygodność i zdolność odzyskania dostępu do zablokowanych danych. Na końcu wiadomości z żądaniem okupu oszuści umieszczają kilka ostrzeżeń dotyczących ryzyka związanego z próbą odszyfrowania plików bez pomocy twórców oprogramowania ransomware.

Reload Ransomware to forma złośliwego oprogramowania, którego celem są osoby i organizacje, szyfrujące ich pliki i żądające okupu za klucze odszyfrowujące. Jest częścią Makop Ransomware rodzina. Żądanie okupu zwykle zaczyna się od deklaracji, że wszystkie pliki zostały zaszyfrowane i teraz mają .reload dołączone do nich rozszerzenie. Ransomware wykorzystuje solidne algorytmy szyfrowania do blokowania plików, czyniąc je niedostępnymi bez odpowiedniego klucza odszyfrowującego. W dostarczonych źródłach nie wspomniano wyraźnie o konkretnym rodzaju szyfrowania używanego przez Reload Ransomware, ale oprogramowanie ransomware zazwyczaj wykorzystuje szyfrowanie AES (Advanced Encryption Standard) lub RSA, które są bardzo bezpieczne i trudne do złamania bez unikalnego klucza deszyfrującego. Notatka z żądaniem okupu utworzona przez Reload Ransomware jest zazwyczaj plikiem tekstowym (+README-WARNING+.txt), który jest upuszczany do folderów zawierających zaszyfrowane pliki. Ta notatka wyraźnie stwierdza, że ​​pliki zostały zaszyfrowane i zawiera instrukcje dotyczące zapłacenia okupu w celu odzyskania plików. Notatka może zawierać szczegóły, takie jak żądana kwota okupu, zwykle w kryptowalutach takich jak Bitcoin, aby zapewnić anonimowość transakcji.

CryptNet Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na zainfekowanych komputerach i żąda zapłaty okupu za klucz deszyfrujący. Jest to nowe oprogramowanie ransomware jako usługa (RaaS), które pojawiło się w kwietniu 2023 r. i jest znane ze swojej skuteczności w szyfrowaniu plików. Ransomware jest napisane w języku programowania .NET i jest zaciemniane przy użyciu .NET Reactor, aby uniknąć wykrycia. Po zaszyfrowaniu plików CryptNet dołącza losowe pięcioznakowe rozszerzenie do oryginalnych nazw plików, dzięki czemu można je łatwo zidentyfikować jako zainfekowane przez to konkretne oprogramowanie ransomware. CryptNet wykorzystuje kombinację 256-bitowego algorytmu AES w trybie CBC i 2048-bitowego algorytmu szyfrowania RSA do blokowania plików. Ta metoda podwójnego szyfrowania gwarantuje, że pliki są bezpiecznie zaszyfrowane i nie można ich odszyfrować bez unikalnych kluczy posiadanych przez atakujących. Po zaszyfrowaniu CryptNet upuszcza notatkę z żądaniem okupu o nazwie RESTORE-FILES-[random_string].txt na pulpicie ofiary. Notatka informuje ofiary o szyfrowaniu i zawiera instrukcje dotyczące zapłacenia okupu w celu odzyskania plików. Zawiera także unikalny identyfikator deszyfrowania i może oferować bezpłatny test deszyfrowania, aby udowodnić zdolność atakujących do odszyfrowania plików.

PayPal, powszechnie uznany system płatności online, stał się częstym celem oszustów, szczególnie poprzez oszustwa związane z nieautoryzowanymi transakcjami e-mailowymi. Te oszukańcze działania stwarzają nie tylko znaczne ryzyko dla bezpieczeństwa finansowego użytkowników, ale także dla ich danych osobowych. PayPal — Nieautoryzowana transakcja oszustwo e-mailowe to forma phishingu, w ramach której oszuści podszywają się pod firmę PayPal, twierdząc, że z konta użytkownika dokonano nieautoryzowanej transakcji. Te e-maile często sprawiają wrażenie pilnych, zachęcając odbiorcę do podjęcia natychmiastowych działań, takich jak zadzwonienie pod podany numer telefonu lub kliknięcie linku w celu anulowania rzekomej transakcji. Wiadomości e-mail są starannie przygotowywane tak, aby sprawiały wrażenie autentycznych i zawierają identyfikatory zamówień, szczegóły transakcji oraz kwoty, które wydają się prawdopodobne. W tym artykule opisano naturę spamu e-mail dotyczącego nieautoryzowanych transakcji w systemie PayPal, typowe metody infekcji oraz ryzyko związane z interakcją z takimi oszustwami, a także zapobieganie i strategie ochrony.

DoNex Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania ransomware, którego zadaniem jest szyfrowanie danych na komputerze ofiary, uniemożliwiając dostęp do plików do czasu zapłacenia okupu. Ten konkretny wariant oprogramowania ransomware został zidentyfikowany przez badaczy bezpieczeństwa informacji jako zagrożenie szyfrujące dane użytkownika i żądające zapłaty za możliwość ich odszyfrowania. DoNex dołącza unikalny identyfikator ofiary do rozszerzeń zaszyfrowanych plików. Na przykład plik o nazwie myphoto.jpg zostanie zmieniona nazwa na coś takiego myphoto.jpg.5GlA66BK7 po zaszyfrowaniu przez DoNex. Chociaż szczegółowe informacje na temat algorytmu szyfrowania używanego przez DoNex nie są jeszcze znane, oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy kryptograficzne, symetryczne lub asymetryczne, do blokowania plików. DoNex pozostawia żądanie okupu o nazwie Readme.[ID_ofiary].txt na komputerze ofiary, która zawiera instrukcje dotyczące sposobu skontaktowania się z atakującymi, zwykle za pośrednictwem określonego kanału komunikacji, takiego jak komunikator Tox, oraz żądania zapłaty.