Poradniki

Oprogramowanie ransomware Everbe 2.0 to druga generacja szeroko rozpowszechnionego oprogramowania ransomware Everbe. Jest to wirus szyfrujący pliki, który szyfruje pliki użytkownika za pomocą kombinacji algorytmów szyfrowania AES (lub DES) i RSA-2048, a następnie wymusza określoną kwotę w BitCoinach w celu odszyfrowania. Pierwotny wirus pojawił się po raz pierwszy w marcu 2018 roku i od tego czasu był bardzo aktywny. Badacze bezpieczeństwa uważają, że Everbe 2.0 Ransomware rozpoczął swoją dystrybucję 4 lipca 2018 r. Autorzy Everbe 2.0 Ransomware żądają od 300 do 1500 USD w BTC (BitCoins) za odszyfrowanie, ale oferują odszyfrowanie dowolnych 3 plików za darmo. Warto wspomnieć, że Everbe 2.0 Ransomware działa tylko na 64-bitowych wersjach systemu Windows. Obecnie nie ma dostępnych narzędzi deszyfrujących dla Everbe 2.0 Ransomware, jednak zalecamy skorzystanie z poniższych instrukcji i narzędzi.

Oprogramowanie ransomware GandCrab V4 czwarta generacja osławionego GandCrab Ransomware. Wirus wykorzystuje złożoną kombinację algorytmów szyfrowania AES-256 (tryb CBC), RSA-2048 i Salsa20. Ta konkretna wersja dodaje .KRAB rozszerzenie do zaszyfrowanych plików i tworzy nieco inną notatkę z żądaniem okupu tzw KRAB-DECRYPT.txt. GandCrab V4 Ransomware żąda okupu w BitCoinach. Zwykle waha się od 200 do 1000 USD. Złośliwe oprogramowanie szyfruje wszystkie typy plików z wyjątkiem tych znajdujących się na białej liście i niektórych niezbędnych do działania systemu Windows. Wszystkie zdjęcia, dokumenty, filmy, bazy danych są szyfrowane po wykryciu. Zastosowania wirusów Usuwanie kopii w tle WMIC.exe polecenie usunięcia kopii w tle i zmniejszenia szans na odzyskanie. Niestety, w chwili, gdy piszemy ten artykuł, obecne narzędzia deszyfrujące nie mogą odszyfrować GandCrab V4 Ransomware, ale nadal będziemy udostępniać linki do tych narzędzi, ponieważ mogą one być aktualizowane każdego dnia.

Ransomware Qweuirtksd jest niebezpiecznym wirusem typu ransomware, który szyfruje pliki użytkownika przy użyciu algorytmu kryptograficznego AES-128 i żąda 500 $ okupu w bitcoinach za odszyfrowanie. Wszystkie pliki zaszyfrowane przez to złośliwe oprogramowanie otrzymują .qweuirtksd rozbudowa. W większości przypadków Qweuirtksd Ransomware jest inicjowany po ręcznym (lub półautomatycznym) włamaniu się do komputera. Ataki pochodzą z adresów IP w Rosji, a według informacji na forum BleepingComputer złoczyńcami są Rosjanie. Hakerzy oferują negocjacje w celu zmniejszenia kwoty okupu dla prywatnych użytkowników. Nie zalecamy płacenia okupu i prób odzyskania zaszyfrowanych plików za pomocą instrukcji na tej stronie.

AUDYT Ransomware to kolejna wersja znanego wirusa ransomware z Crysis-Dharma-Cezar rodzina. Teraz dodaje .REWIZJA rozszerzenie do zaszyfrowanych plików (proszę nie mylić z plikami raportów Nessus Pro). Ta odmiana ransomware obecnie nie ma deszyfratora, jednak zalecamy wypróbowanie poniższych instrukcji w celu odzyskania plików, których dotyczy problem. Dharma-AUDIT Ransomware dodaje sufiks, który składa się z kilku części, takich jak: unikalny identyfikator użytkownika, adres e-mail programisty i wreszcie, .REWIZJA sufiks, od którego wzięła swoją nazwę. Schemat modyfikacji nazwy pliku wygląda następująco: plik o nazwie 1. dok zostanie przekonwertowany na 1.doc.id-{8-cyfrowy-identyfikator}.[{adres-e-mail}].AUDYT. Z naszych informacji wynika, że ​​hakerzy żądają od ofiar okupu w wysokości 10000 XNUMX USD. Zła wiadomość jest taka, że ​​używanie kryptowalut i serwisów płatniczych hostowanych przez TOR sprawia, że ​​śledzenie odbiorcy jest prawie niemożliwe. Poza tym ofiary takich wirusów często padają ofiarami oszustw, a przestępcy nie wysyłają żadnych kluczy nawet po zapłaceniu okupu. Niestety, ręczne lub automatyczne odszyfrowanie jest niemożliwe, chyba że oprogramowanie ransomware zostało opracowane z błędami lub ma pewne błędy wykonania, wady lub luki w zabezpieczeniach. Nie zalecamy płacenia jakichkolwiek pieniędzy złoczyńcom. Jednak dobrą wiadomością jest to, że często po pewnym czasie specjaliści ds. bezpieczeństwa z firm antywirusowych lub indywidualni badacze dekodują algorytmy i uwalniają klucze deszyfrujące lub policja znajduje serwery i ujawnia klucze główne.

Oprogramowanie ransomware CryptConsole 3 jest następcą Konsola Kryptowalna i Kryptowa konsola 2 wirusy ransomware. Ten krypto-szantażysta szyfruje dane na serwerach i komputerach za pomocą algorytmu AES, a następnie żąda okupu w wysokości 0.14 BTC (lub czasami 50 USD) za zwrot plików. Wirus został stworzony w C# dla Microsoft .NET Framework. Trzecia generacja CryptConsole zaczęła się rozprzestrzeniać w czerwcu 2018 roku. Większość odmian wyłudza 50 $. Oferują odszyfrowanie 1 pliku za darmo, ale całkowity koszt wzrośnie wtedy do 50 $. Wspomnij, że CryptConsole 1 i CryptConsole 2 można odszyfrować za pomocą narzędzia opracowanego przez Michaela Gillespie (do pobrania poniżej). Trzecia wersja jest obecnie nieodszyfrowalna. Możesz przywracać pliki z kopii zapasowych, ale jeśli nie masz kopii zapasowych, postępuj zgodnie z poniższymi instrukcjami, aby spróbować przywrócić pliki przy użyciu standardowych funkcji systemu Windows lub oprogramowania do odzyskiwania plików.

Oprogramowanie ransomware GandCrab V5.0.5 to piąta generacja GandCrab Ransomware wysokiego ryzyka. Prawdopodobnie ten wirus został opracowany w Rosji. Ten crypto-extortor szyfruje dane użytkownika i serwera za pomocą algorytmu Salsa20, a RSA-2048 służy do szyfrowania klucza pomocniczego. Dołącza się wersję 5 .[5-losowych-liter] rozszerzenie do zaszyfrowanych plików i tworzy żądanie okupu o nazwie [5-losowych-liter]-DECRYPT.txt. Przykłady żądań okupu: VSVDV-DECRYPT.html, FBKDP-DECRYPT.html, IBAGX-DECRYPT.html, QIKKA-DECRYPT.html. GandCrab V5.0.5 Ransomware żąda okupu w wysokości 800 USD w kryptowalutach BitCoins lub DASH za odszyfrowanie. Jednak często złoczyńcy oszukują użytkowników i nie wysyłają kluczy. W ten sposób ofiara nie odzyska swoich plików, ale narazi dane uwierzytelniające na wątpliwą wymianę kryptowalut.

Oprogramowanie ransomware Minotaur to nowy rodzaj oprogramowania ransomware, które szyfruje pliki użytkownika i żąda 0.125 Bitcoinów za odszyfrowanie. Otrzymują wszystkie pliki zaszyfrowane przez Minotaura .Zamek rozbudowa. Według specjalistów ds. bezpieczeństwa Minotaur Ransomware najpierw atakuje dane na dyskach flash, a dopiero potem przełącza się na dyski lokalne. Obecnie nie ma możliwości zwrócenia przechwyconych plików. Jeśli masz kopie zapasowe, musisz usunąć Minotaur Ransomware ze swojego komputera, upewnić się, że nie jest aktywne i przywrócić z kopii zapasowych. W przeciwnym razie możesz podjąć próbę odzyskania plików korzystając z poniższych instrukcji (punkty przywracania, poprzednie wersje plików, oprogramowanie do odzyskiwania danych). Pamiętaj, że płacąc oszustom, narażasz swoje dane uwierzytelniające. Często po pewnym czasie firmy antywirusowe lub indywidualni entuzjaści łamią algorytmy szyfrowania i wypuszczają narzędzia deszyfrujące. Jeśli nie uda Ci się przywrócić plików dzisiaj, zachowaj ważne dane do ewentualnego odzyskania w przyszłości.

W tym artykule opisujemy trzecią generację STOP Ransomware, poprzednie dwie wersje zostały opisane przez nasz zespół wcześniej. Odmiana ta była aktywnie rozpowszechniana w sierpniu i wrześniu 2018 roku. Wirus zaatakował już użytkowników z 25 krajów, w tym z Brazylii, Chile, Wietnamu, USA, Zjednoczonych Emiratów Arabskich, Egiptu, Algierii, Indonezji, Indii, Iranu, Polski, Białorusi, Ukrainy. Ta odmiana wykorzystuje kryptografię symetryczną i asymetryczną i dodaje KLUCZ, .CZEMU or .Zapisz pliki rozszerzenia plików po zaszyfrowaniu. Intruzi żądają 300 dolarów okupu za odszyfrowanie. Oferują odszyfrowanie do 3 losowych plików za darmo, aby udowodnić, że odszyfrowanie jest możliwe. Hakerzy ostrzegają również, że jeśli kwota nie zostanie wpłacona w ciągu 72 godzin, odzyskanie danych będzie niemożliwe.