Poradniki

Meduza Ransomware, znany również jako MedusaLocker, to złośliwe oprogramowanie, którego celem jest szyfrowanie plików na komputerze ofiary, czyniąc je niedostępnymi. Po raz pierwszy zaobserwowano go we wrześniu 2023 r. i od tego czasu atakuje ofiary korporacyjne na całym świecie. Meduza Ransomware działa w modelu Ransomware-as-a-Service (RaaS), współpracując z globalnymi oddziałami w celu zwiększenia jego zasięgu i wpływu. Meduza Ransomware szyfruje pliki przy użyciu algorytmu szyfrowania AES-256 i dołącza .meduza24 rozszerzenie. Po zaszyfrowaniu plików usuwa wszelkie kopie zapasowe plików, jakie znajdzie na komputerze użytkownika, aby utrudnić odzyskanie danych. Ransomware tworzy żądanie okupu o nazwie How_to_back_files.html w każdym folderze zawierającym zaszyfrowane pliki. Notatka zawiera wyjaśnienie, co stało się z plikami użytkownika oraz instrukcje dotyczące zapłacenia okupu za odszyfrowanie plików.

Mzop Ransomware uruchamia szyfrowanie danych (za pomocą algorytmów RSA 2048 + Salsa20), zmienia nazwy plików na .mzop przedłużenia i żąda pieniędzy za jego zwrot. Te cechy sprawiają, że jest klasyfikowany jako infekcja ransomware. Jest również częścią bardzo popularnej i niebezpiecznej rodziny ransomware o nazwie STOP/Djvu który jest odpowiedzialny za setki wyniszczających infekcji. Gdy Mzop zainstaluje się w systemie, użytkownicy utracą dostęp do plików, które otwierali przed infekcją. Tak będzie wyglądał zainfekowany plik po pomyślnym zaszyfrowaniu - od zdrowego 1.pdf do zaszyfrowanych 1.pdf.mzop. Jak tylko proces się zakończy, Mzop ujawnia instrukcje dotyczące okupu w wiadomości tekstowej (_readme.txt). Deweloperzy używają tego samego szablonu, co w przypadku innych wariantów ransomware pochodzących z rodziny STOP/Djvu.

Electronic Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi do czasu zapłacenia okupu atakującemu. Zaszyfrowane pliki są dołączane z rozszerzeniem .ELCTRONIC rozszerzenie pliku i żądanie okupu o nazwie README ELECTRONIC.txt ma na celu poinformowanie ofiary o ataku i przekazanie instrukcji dotyczących płatności. Ta notatka zawiera informacje o ataku, instrukcje dotyczące płatności oraz dane kontaktowe cyberprzestępców, które mogą obejmować adresy e-mail i nazwy użytkowników Telegramu. Konkretny algorytm szyfrowania używany przez Electronic Ransomware nie jest jeszcze znany. Jednak oprogramowanie ransomware zazwyczaj wykorzystuje złożone algorytmy szyfrowania do szyfrowania danych ofiary, uniemożliwiając ich odszyfrowanie bez unikalnego klucza deszyfrującego atakującego.

ReadText Ransomware to złośliwy program należący do MedusaLocker rodzina ransomware. Jego celem są firmy i wykorzystuje taktykę podwójnego wymuszenia do szyfrowania ważnych plików na komputerze ofiary i żądania okupu za ich odszyfrowanie. ReadText Ransomware dołącza plik .readtext4 rozszerzenie oryginalnych nazw plików zaszyfrowanych. Liczba w rozszerzeniu może się różnić w zależności od wariantu oprogramowania ransomware. Chociaż konkretna metoda szyfrowania używana przez ReadText Ransomware nie jest znana, nowoczesne oprogramowanie ransomware zazwyczaj wykorzystuje hybrydowy schemat szyfrowania, łącząc algorytmy szyfrowania symetrycznego, takie jak AES, z algorytmami szyfrowania asymetrycznego, takimi jak RSA. Po zaszyfrowaniu plików, ReadText Ransomware upuszcza wiadomość z żądaniem okupu o nazwie How_to_back_files.html.

Mzqt Ransomware to odmiana rodziny ransomware Djvu, która szyfruje pliki na komputerze ofiary i żąda okupu za ich odszyfrowanie. Dołącza .mzqt rozszerzenie zaszyfrowanych plików, czyniąc je niedostępnymi. Na przykład plik o nazwie sample.jpg zostanie przemianowany na sample.jpg.mzqt. Ransomware generuje również żądanie okupu o nazwie _readme.txt zawierający instrukcje, jak skontaktować się z atakującymi i zainicjować częściową płatność. Mzqt Ransomware wykorzystuje zaawansowany algorytm szyfrowania do szyfrowania danych użytkowników, czyniąc pliki bezużytecznymi. Należy do rodziny Stop/Djvu, która znana jest z zaawansowanego algorytmu kryptograficznego. Przed zastosowaniem jakichkolwiek metod odzyskiwania plików konieczne jest usunięcie oprogramowania ransomware z zainfekowanego systemu. Potężne narzędzie do usuwania złośliwego oprogramowania może pomóc przeskanować komputer i usunąć wszystkie zagrożenia na raz.

Mzre Ransomware to złośliwe oprogramowanie, które szyfruje pliki na zainfekowanych komputerach, czyniąc je niedostępnymi. Jest to odmiana rodziny ransomware Djvu i znana jest z dołączania rozszerzenia .mzre rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o nazwie 1.jpg zmieni się na 1.jpg.mzre. Mzre Ransomware może być również dystrybuowane wraz ze złośliwym oprogramowaniem kradnącym informacje, takim jak Vidar i RedLine. Mzre Ransomware szyfruje pliki przy użyciu potężnego algorytmu kryptograficznego i dodaje rozszerzenia do nazw plików. To sprawia, że ​​pliki stają się niedostępne i zmusza ofiary do zapłacenia okupu za odzyskanie dostępu do swoich danych. Po zaszyfrowaniu plików Mzre Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt. Notatka zawiera informacje dotyczące sposobu nawiązania kontaktu z atakującymi oraz koszty odszyfrowania.

NIGHT CROW Ransomware to złośliwe oprogramowanie zaprojektowane do szyfrowania danych na komputerze ofiary i żądania zapłaty za ich odszyfrowanie. Dołącza .NIGHT_CROW rozszerzenie zaszyfrowanych plików, czyniąc je niedostępnymi. Na przykład plik o początkowej nazwie sample.docx stanie się sample.docx.NIGHT_CROW. Po zaszyfrowaniu plików NIGHT CROW upuszcza notatkę z żądaniem okupu zatytułowaną NIGHT_CROW_RECOVERY.txt w zainfekowanym systemie. Chociaż nie odkryto jeszcze konkretnego algorytmu szyfrowania używanego przez NIGHT CROW, oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, takie jak AES, w celu blokowania plików ofiary. Notatka z żądaniem okupu utworzona przez NIGHT CROW informuje ofiarę, że jej pliki zostały zaszyfrowane, ale zapewnia ją, że dane można odzyskać. Notatka instruuje ofiarę, aby zapłaciła okup w wysokości 0.000384 BTC (kryptowaluta Bitcoin), co stanowi około 10 USD według aktualnego kursu wymiany. Kwota ta jest stosunkowo niska w porównaniu z żądaniami innych programów ransomware.

Azop Ransomware to złośliwy program, który szyfruje pliki w docelowych systemach komputerowych, czyniąc je niedostępnymi. Jest członkiem STOP/Djvu rodziny złośliwego oprogramowania i jest znany ze swoich silnych możliwości szyfrowania. Azop Ransomware dołącza plik .azop rozszerzenie zaszyfrowanych plików, czyniąc je nieczytelnymi i bezużytecznymi. Na przykład to się zmienia 1.jpg do 1.jpg.azop i 2.png do 2.png.azop. Azop Ransomware wykorzystuje algorytm szyfrowania Salsa20 do szyfrowania plików. Ta silna metoda szyfrowania sprawia, że ​​znalezienie klucza deszyfrującego bez współpracy z atakującymi jest szczególnie trudne, jeśli nie niemożliwe. Azop Ransomware tworzy żądanie okupu w formie dokumentu tekstowego o nazwie _readme.txt. Notatka zawiera instrukcje, jak skontaktować się z przestępcami stojącymi za Azopem i zapłacić okup w zamian za klucz odszyfrowujący.