Poradniki

Oprogramowanie ransomware Minotaur to nowy rodzaj oprogramowania ransomware, które szyfruje pliki użytkownika i żąda 0.125 Bitcoinów za odszyfrowanie. Otrzymują wszystkie pliki zaszyfrowane przez Minotaura .Zamek rozbudowa. Według specjalistów ds. bezpieczeństwa Minotaur Ransomware najpierw atakuje dane na dyskach flash, a dopiero potem przełącza się na dyski lokalne. Obecnie nie ma możliwości zwrócenia przechwyconych plików. Jeśli masz kopie zapasowe, musisz usunąć Minotaur Ransomware ze swojego komputera, upewnić się, że nie jest aktywne i przywrócić z kopii zapasowych. W przeciwnym razie możesz podjąć próbę odzyskania plików korzystając z poniższych instrukcji (punkty przywracania, poprzednie wersje plików, oprogramowanie do odzyskiwania danych). Pamiętaj, że płacąc oszustom, narażasz swoje dane uwierzytelniające. Często po pewnym czasie firmy antywirusowe lub indywidualni entuzjaści łamią algorytmy szyfrowania i wypuszczają narzędzia deszyfrujące. Jeśli nie uda Ci się przywrócić plików dzisiaj, zachowaj ważne dane do ewentualnego odzyskania w przyszłości.

W tym artykule opisujemy trzecią generację STOP Ransomware, poprzednie dwie wersje zostały opisane przez nasz zespół wcześniej. Odmiana ta była aktywnie rozpowszechniana w sierpniu i wrześniu 2018 roku. Wirus zaatakował już użytkowników z 25 krajów, w tym z Brazylii, Chile, Wietnamu, USA, Zjednoczonych Emiratów Arabskich, Egiptu, Algierii, Indonezji, Indii, Iranu, Polski, Białorusi, Ukrainy. Ta odmiana wykorzystuje kryptografię symetryczną i asymetryczną i dodaje KLUCZ, .CZEMU or .Zapisz pliki rozszerzenia plików po zaszyfrowaniu. Intruzi żądają 300 dolarów okupu za odszyfrowanie. Oferują odszyfrowanie do 3 losowych plików za darmo, aby udowodnić, że odszyfrowanie jest możliwe. Hakerzy ostrzegają również, że jeśli kwota nie zostanie wpłacona w ciągu 72 godzin, odzyskanie danych będzie niemożliwe.

Ransomware Magniber My Deszyfrator jest szeroko rozpowszechnionym kryptowirusem atakującym komputery z systemem Windows. Koncentruje się na użytkownikach z Anglii i Korei Południowej. Od czerwca 2018 r. ataki Magniber przeniosły się do innych krajów regionu Azji i Pacyfiku: Chin, Hongkongu, Tajwanu, Singapuru, Malezji, Brunei, Nepalu i innych. Wirus ma swoją nazwę od połączenia tych dwóch słów Magnituda + Cero. Tutaj Magnitude jest zbiorem exploitów, ostatni dla Cerbera jest wektorem infekcji. Wraz z tym zagrożeniem złośliwe oprogramowanie Cerber zakończyło swoją dystrybucję we wrześniu 2017 r. Jednak na stronie Tor oprogramowania ransomware podano: Mój deszyfrator, stąd wzięła się druga część nazwy. Po zaszyfrowaniu Magniber My Decryptor Ransomware może dodać 5-6-7-8 lub 9 losowych liter jako rozszerzenie pliku. Magniber My Decryptor Ransomware żąda 0.2 BitCois za odszyfrowanie plików. Hakerzy grożą podwojeniem kwoty w ciągu 5 dni. Wirus może zaszyfrować prawie każdy plik na komputerze, w tym dokumenty MS Office, OpenOffice, PDF, pliki tekstowe, bazy danych, zdjęcia, muzykę, wideo, pliki graficzne, archiwa.

Oprogramowanie ransomware Gamma to wirus szyfrujący pliki, sklasyfikowany jako ransomware i należący do rodziny Crysis-Dharma-Cezar. Jest to jedna z najbardziej rozpowszechnionych rodzin oprogramowania ransomware. Swoją nazwę zawdzięcza rozszerzeniu pliku, które dodaje do zaszyfrowanych plików. Wirus wykorzystuje złożone rozszerzenie składające się z adresu e-mail oraz unikalnego 8-cyfrowego numeru identyfikacyjnego (losowo generowanego). Programiści Gamma Ransomware żądają od 0.05 do 0.5 BTC (BitCoins) za odszyfrowanie, ale oferują odszyfrowanie 1 niearchiwizowanego pliku za darmo. Plik powinien być mniejszy niż 1 MB. Zalecamy odzyskanie 1 losowego pliku, ponieważ może to pomóc w ewentualnym dekodowaniu w przyszłości. Zachowaj parę zaszyfrowanych i odszyfrowanych próbek. Obecnie nie ma dostępnych narzędzi deszyfrujących dla Gamma Ransomware, jednak zalecamy skorzystanie z poniższych instrukcji i narzędzi. Często użytkownicy usuwają kopie i duplikaty dokumentów, zdjęć, filmów - infekcja może nie wpływać na usunięte pliki. Niektóre z usuniętych plików można przywrócić za pomocą oprogramowania do odzyskiwania plików.

Ransomware Javy jest niezwykle szkodliwym wirusem szyfrującym pliki, należącym do rodziny ransomware Dharma/Crysis. Dodaje .Jawa rozszerzenie do wszystkich zaszyfrowanych plików. Zwykle jest to złożony sufiks zawierający unikalny identyfikator i adres e-mail. Java Ransomware wykorzystuje spam ze złośliwymi załącznikami .docx. Takie załączniki zawierają makra malicios, które są uruchamiane, gdy użytkownik otwiera plik. To makro pobiera plik wykonywalny ze zdalnego serwera, który z kolei rozpoczyna proces szyfrowania.

Nozelesn Ransomware to nowy rodzaj oprogramowania ransomware, które wykorzystuje szyfrowanie AES-128 do szyfrowania plików użytkownika. Dołącza .nozelesn rozszerzenie do plików „w szyfrze”. Według badaczy ro, Nozelesn Ransomware początkowo atakował Polskę, ale następnie rozszerzył się na inne kraje europejskie. Po pomyślnym zrzuceniu wirusa szyfrującego HOW_FIX_NOZELESN_FILES.htm plik z wiadomością żądającą okupu na pulpicie oraz w folderach z plikami, których dotyczy problem. Cena za odszyfrowanie wynosi 0.10 BitCoinów, czyli obecnie ~650 USD. Złoczyńcy obiecują wysłać klucz deszyfrujący w ciągu 10 dni. Jednak cyberprzestępcom nie można ufać, ponieważ zgodnie z naszym doświadczeniem często nie dotrzymują obietnic, że nie narażą swojego algorytmu szyfrowania na ryzyko. W chwili pisania tego artykułu żadne deszyfratory nie są dostępne, ale jesteśmy na bieżąco z sytuacją.

Ransomware JobCrypter jest kryptowirusem ransomware opartym na kodzie Hidden Tear. Wirus dodaje .zablokowany or . Css rozszerzenie do zaszyfrowanych plików. Ten krypto-extortioner szyfruje dane użytkownika za pomocą 3DES, a następnie wymaga odkupienia, aby zwrócić pliki. Sądząc po treści żądania okupu, JobCrypter skupia się wyłącznie na francuskich użytkownikach. Warto jednak zauważyć, że wiele zainfekowanych komputerów JobCrypter znajdowało się na Litwie. Aby usunąć blokadę plików, poszkodowany musi zapłacić okup w wysokości 300 euro z karty PaySafeCard.

Zaktualizowana wersja STOP Ransomware dołącza oprogramowanie ransomware .PAUSA, .CONTACTUS, .DATASTOP lub .STOPDATA sufiksy do zaszyfrowanych plików. Wirus nadal wykorzystuje algorytm szyfrowania RSA-1024. Wszystkie wersje oprócz .ZATRZYMAJ DANE, żądają 600 $ okupu w BTC (kryptowalucie BitCoin), ostatni oferuje odszyfrowanie za 200 $. Nadal złoczyńcy oferują odszyfrowanie od 1 do 3 plików za darmo, aby udowodnić, że odszyfrowanie jest możliwe. Można to wykorzystać do prób dekodowania w przyszłości. W tej chwili niestety jedynym sposobem na przywrócenie plików są kopie zapasowe.