Poradniki

Jeśli czytasz tę stronę, to „SharePoint" e-mail jest prawdopodobnie oszukańczą wiadomością, którą należy zignorować lub nawet usunąć. Początkowo SharePoint jest legalnym narzędziem firmy Microsoft używanym przez wiele firm na całym świecie, jednak niektórzy oszuści podszywają się pod jego nazwę i szablony w celu promowania złośliwych linków/przycisków prowadzących do połowów Zaobserwowano, że spam e-mail „SharePoint" naśladuje nazwy firm i nakłania odbiorców do przeczytania ważnych informacji w fałszywym załączniku PDF. Ten załącznik zawiera łącze prowadzące do fałszywej witryny firmy Microsoft. Należy pamiętać, że takie strony internetowe są zaprojektowane tak, aby nakłaniać użytkowników do podawania poufnych informacji i umożliwiać cyberprzestępcom wykorzystywanie ich w celu kradzieży dostępu do Microsoft 365 (Office) lub innych kont, które prawdopodobnie są zarejestrowane przy użyciu tych samych danych logowania. Zdecydowanie odradza się klikanie łączy lub pobieranie załączników z wiadomości które wydają się podejrzane. Niektórzy cyberprzestępcy mogą wykorzystywać pliki PDF, Word, Excel, RAR, ZIP i inne oryginalne pliki do konfigurowania wykonywalnych skryptów instalujących złośliwe oprogramowanie. Dlatego zawsze uważaj na to, co klikasz lub pobierasz z wiadomości e-mail. Spam e-mail „SharePoint” to tylko jedna z niezliczonych innych oszukańczych wiadomości e-mail, które każdego dnia atakują użytkowników. Uważaj na nie i przeczytaj nasz przewodnik, aby uzyskać ochronę przed nimi w przyszłości.

Jeśli trafiłeś na ten artykuł, najprawdopodobniej zostałeś trafiony Niwm Ransomware, który zaszyfrował twoje pliki i zmodyfikował ich rozszerzenia na .niwm. Nazwa Niwm jest nadawana temu złośliwemu oprogramowaniu tylko po to, aby pomóc użytkownikom znaleźć rozwiązanie do usuwania i odszyfrowywania, zgodnie z sufiksem, który dołącza. W rzeczywistości jest to tylko 681-ta wersja STOP Ransomware (czasem nazywany Djvu Ransomware), który jest aktywny od ponad 5 lat i stał się jedną z najbardziej rozpowszechnionych rodzin ransomware. Niwm został wydany w pierwszych dniach kwietnia 2023 roku. Niestety, szanse na 100% odszyfrowanie są teraz niewielkie, ponieważ wykorzystuje silne algorytmy szyfrowania, jednak dzięki poniższym instrukcjom będziesz w stanie odzyskać niektóre pliki. wykorzystuje kombinację algorytmów szyfrowania RSA i AES do szyfrowania plików ofiary. Algorytm RSA służy do szyfrowania klucza AES, a algorytm AES do szyfrowania plików ofiary. Klucz AES jest generowany losowo dla każdej ofiary i przechowywany na serwerze atakującego. Ale najpierw musisz usunąć pliki ransomware i zabić jego procesy. Poniżej znajduje się przykład żądania okupu Niwm Ransomware, które pozostawia na pulpicie (_readme.txt). Jest dość typowy i pozostaje prawie taki sam z niewielkimi zmianami od kilku lat.

Cylance to nazwa infekcji ransomware, której celem są użytkownicy systemów Windows i Linux. Użytkownicy zainfekowani tego typu złośliwym oprogramowaniem nie będą już mogli uzyskać dostępu do swoich danych z powodu szyfrowania. Ponadto ofiary zobaczą również pliki, których dotyczy problem, zmodyfikowane za pomocą rozszerzenia .Cylance rozszerzenie. Po tym czasie nie będą już dostępne, a ofiary będą musiały postępować zgodnie z instrukcjami odszyfrowywania zawartymi w wygenerowanym żądaniu okupu (o nazwie CYLANCE_README.txt). Należy pamiętać, że Cylance Ransomware nie ma nic wspólnego z Cylance by BlackBerry – legalnymi rozwiązaniami cyberbezpieczeństwa dla przedsiębiorstw. Ogólnie rzecz biorąc, żądanie okupu mówi, że dane ofiary zostały zaszyfrowane, a cyberprzestępcy są jedynymi posiadaczami kluczy prywatnych, którzy są w stanie je odszyfrować. Aby uzyskać ten klucz i prawdopodobnie oprogramowanie do odszyfrowywania, ofiary są proszone o skontaktowanie się z oszustami za pośrednictwem poczty e-mail i przekazanie im pieniędzy. Cena nie jest ujawniona i najprawdopodobniej jest obliczana dla każdej ofiary z osobna. Ponadto cyberprzestępcy oferują również bezpłatne przetestowanie deszyfrowania, wysyłając jeden zaszyfrowany plik. Bez względu na to, jak godni zaufania wydają się cyberprzestępcy, zawsze odradza się współpracę z nimi i płacenie okupu. Wiele ofiar zostaje oszukanych i nie otrzymuje obiecanych narzędzi do odszyfrowania. Chociaż nie zgłoszono tego w przypadku Cylance Ransomware, ryzyko istnieje.

Nifr Ransomware, będąc częścią STOP Ransomware (DjVu Ransomware ) to rozbudowany wirus szyfrujący, który szyfruje pliki użytkownika i uniemożliwia do nich dostęp. Złośliwe oprogramowanie wykorzystuje niezniszczalny algorytm szyfrowania AES (Salsa20), a odszyfrowanie jest możliwe tylko w 2-3% przypadków. Najpierw generuje unikalny klucz szyfrowania AES-256 dla każdego szyfrowanego pliku, który jest używany do szyfrowania zawartości pliku. Ten proces jest znany jako szyfrowanie symetryczne, ponieważ ten sam klucz jest używany do szyfrowania i deszyfrowania pliku. Po zaszyfrowaniu pliku kluczem AES-256, Nifr Ransomware następnie szyfruje klucz AES-256 kluczem publicznym RSA-1024, który jest zawarty w kodzie ransomware. Ten proces jest znany jako szyfrowanie asymetryczne, ponieważ używa różnych kluczy do szyfrowania i deszyfrowania. Najnowsza wersja STOP Ransomware dodaje następujący przyrostek lub rozszerzenie: .nifr. Odpowiednia odmiana wirusa otrzymała nazwy: Nifr Ransomware. Po zaszyfrowaniu ransomware tworzy _readme.txt plik, który specjaliści nazywają "żądaniem okupu", a poniżej możesz zapoznać się z zawartością tego pliku. Notatka zawiera instrukcje, jak skontaktować się z operatorami ransomware i zapłacić okup, aby otrzymać klucz odszyfrowywania. Ransomware jest zwykle dystrybuowane za pośrednictwem wiadomości Spam, fałszywych aktualizacji oprogramowania i narzędzi do łamania/generowania kluczy oprogramowania. Ważne jest, aby pamiętać, że płacenie okupu nie jest zalecane, ponieważ zachęca przestępców i nie ma gwarancji, że klucz deszyfrujący zostanie dostarczony.

D7k to nazwa niedawno wykrytej infekcji ransomware. Podobnie jak inne infekcje z tej kategorii, jest przeznaczony do szyfrowania danych przechowywanych w systemie i wyłudzania od ofiar pieniędzy za ich odszyfrowanie. Podczas szyfrowania wszystkie docelowe pliki zostaną pobrane .D7k rozszerzenie i zresetuj ich ikony do pustego. W rezultacie użytkownicy nie będą już mogli uzyskać dostępu do swoich plików, nawet po ręcznym usunięciu nowo przypisanego rozszerzenia. Po pomyślnym zakończeniu szyfrowania wirus tworzy plik tekstowy o nazwie note.txt, który zawiera wskazówki dotyczące odszyfrowywania. Notatka zawiera krótki tekst żądający 500 dolarów za odszyfrowanie plików. Kwota ta ma zostać przesłana do portfela bitcoin podłączonego przez cyberprzestępców. Wiadomość nie zawiera żadnych kanałów komunikacji, co sprawia, że ​​proces deszyfrowania jest niejednoznaczny. Płacenie okupu nie jest zalecane, ponieważ wielu cyberprzestępców oszukuje swoje ofiary i nie wysyła w zamian obiecanych środków deszyfrujących. Jednak w tym przypadku wydaje się to jeszcze bardziej ryzykowne ze względu na brak jakichkolwiek kanałów komunikacji umożliwiających kontakt z szantażystami. Mimo to cyberprzestępcy są zwykle jedynymi postaciami, które mogą całkowicie i bezpiecznie odblokować dostęp do danych. W momencie pisania tego artykułu żadne publiczne narzędzia stron trzecich nie były znane z obejścia szyfrów przypisanych przez D7k Ransomware. Odszyfrowanie przy użyciu narzędzi innych firm lub kopii w tle systemu Windows jest możliwe tylko w rzadkich przypadkach, gdy oprogramowanie ransomware jest wadliwe lub przypadkowo uszkodzone podczas działania z jakiegokolwiek powodu. W przeciwnym razie jedynym sposobem na odzyskanie danych jest współpraca z programistami ransomware lub odzyskanie danych z istniejących kopii zapasowych. Kopie zapasowe to kopie danych przechowywane na urządzeniach zewnętrznych, takich jak dyski USB, zewnętrzne dyski twarde lub dyski SSD.

Jycx Ransomware (w innej klasyfikacji STOP Ransomware or Djvu Ransomware) jest szkodliwym złośliwym oprogramowaniem, które blokuje dostęp do plików użytkownika poprzez ich zaszyfrowanie i wymaga wykupu. Został wydany w ostatnich dniach marca 2023 roku i trafił na dziesiątki tysięcy komputerów. Wirus wykorzystuje niezniszczalny algorytm szyfrowania (AES-256 z kluczem RSA-1024) i żąda zapłaty okupu w bitcoinach. Jednak ze względu na pewne błędy programistyczne, istnieją przypadki, w których twoje pliki mogą zostać odszyfrowane. Wersja STOP Ransomware, którą rozważamy dzisiaj, dodaje .jycx rozszerzeń do zaszyfrowanych plików i dlatego otrzymał nazwę Jycx Ransomware. Po zaszyfrowaniu prezentuje plik _readme.txt do ofiary. Ten plik tekstowy zawiera informacje o infekcji, dane kontaktowe i fałszywe stwierdzenia dotyczące gwarancji odszyfrowania. Następujące e-maile są wykorzystywane przez złoczyńców do komunikacji: support@freshmail.top i datarestorehelp@airmail.cc.

Hairysquid jest nowo odkrytą odmianą Mimic ransomware. Po przeniknięciu modyfikuje zasady grupy systemu Windows, dezaktywuje ochronę przez program Windows Defender i wyłącza inne funkcje systemu Windows, aby wykluczyć wszelkie środki odstraszające jego szkodliwą aktywność. Celem tej infekcji jest zaszyfrowanie dostępu do danych przechowywanych w systemie i zażądanie pieniędzy za ich odszyfrowanie. Podczas procesów szyfrowania wirus dołącza plik .Hairysquid rozszerzenie do wszystkich plików, których dotyczy problem. Po zakończeniu plik taki jak 1.pdf zwróci się do 1.pdf.Hairysquid i ostatecznie zmień jego ikonę. Instrukcje, jak odszyfrować zablokowane dane, znajdują się w pliku READ_ME_DECRYPTION_HAIRYSQUID.txt note, która jest tworzona wraz z udanym szyfrowaniem. Ogólnie mówi się, że ofiary zostały zaatakowane przez oprogramowanie ransomware, które zaszyfrowało ich dane. Aby odwrócić szkody i odzyskać pliki, ofiary muszą skontaktować się z oszustami za pośrednictwem jednego z dostarczonych kanałów komunikacji (komunikator TOX, komunikator ICQ, Skype i e-mail) oraz zapłacić za odszyfrowanie w Bitcoinach. Mówi się, że cena za odszyfrowanie jest obliczana na podstawie liczby i potencjalnej wartości zaszyfrowanych danych. Ponadto dozwolone jest również bezpłatne testowanie deszyfrowania poprzez wysłanie cyberprzestępcom 3 zablokowanych plików. Niestety, zwykle niemożliwe jest odszyfrowanie zablokowanych danych bez udziału samych cyberprzestępców.

Jyos Ransomware (znany jako Djvu Ransomware or STOP Ransomware) szyfruje pliki ofiary za pomocą Salsa20 (system szyfrowania strumieniowego) i dołącza jedno z setek możliwych rozszerzeń, w tym najnowsze odkryte .jyos. Ten pojawił się pod koniec marca 2023 roku i zainfekował tysiące komputerów na całym świecie. STOP jest obecnie jednym z najaktywniejszych programów ransomware, ale prawie się o nim nie mówi. Rozpowszechnienie STOP potwierdza również niezwykle aktywny wątek na forum Bleeping Computer, gdzie ofiary szukają pomocy. Faktem jest, że to złośliwe oprogramowanie atakuje głównie fanów pirackich treści, odwiedzających podejrzane strony i jest dystrybuowane w ramach pakietów reklamowych. Istnieje możliwość pomyślnego odszyfrowania, jednak do tej pory badaczom znanych jest ponad dwieście wariantów STOP Ransomware, a taka różnorodność znacznie komplikuje sytuację.