Wirusy

Oprogramowanie ransomware Evolution to nowe oprogramowanie ransomware o obecnie nieznanej genealogii. Wiele wskazuje na to, że bazuje on na kodzie hte of Oprogramowanie ransomware Everbe 2.0. Wirus szyfruje pliki użytkownika za pomocą algorytmu szyfrowania AES i dodaje .ewolucja rozszerzenie do zakodowanych plików. Po skontaktowaniu się z programistami za pośrednictwem jednego z dostarczonych e-maili, żądają oni 2 BitCoinów za odszyfrowanie i oferują odszyfrowanie 1 pliku za darmo jako dowód. Następnie wysyłają portfel do wysyłania środków. 2 BitCoiny w momencie poprawiania tego artykułu miały równowartość 8000 $. Nie zalecamy płacenia okupu, ponieważ nie ma gwarancji, że złoczyńcy wyślą ostateczny deszyfrator. Obecnie nie ma dostępnych narzędzi deszyfrujących dla tego typu kryptowirusa. Jedynym sposobem na odzyskanie wszystkich plików jest przywrócenie z kopii zapasowych. Możesz także spróbować skorzystać z poniższych instrukcji i narzędzi, aby odzyskać niektóre ważne pliki.

Kombinowane oprogramowanie ransomware jest nową reinkarnacją Dharma/Cezar/Crysis ransomware rodzina. Następca Arrow i Bip Ransomware. Ta wersja dodaje złożone rozszerzenie, które kończy się na .combo lub .cmb i zawiera adres e-mail oraz unikalny identyfikator. Combo Ransomware szyfruje wszystkie wrażliwe pliki, w tym dokumenty, obrazy, filmy, bazy danych, archiwa, pliki projektów itp. Pliki systemu Windows pozostają nietknięte, aby zapewnić stabilną pracę. Combo Ransomware używa szyfrowania AES-256, co sprawia, że ​​pliki ofiary są niedostępne bez klucza deszyfrującego. Na dzień dzisiejszy odszyfrowanie nie jest możliwe, jednak możesz spróbować odszyfrować pliki z kopii zapasowych lub wypróbować oprogramowanie do odzyskiwania plików. Istnieje również szansa na odszyfrowanie po zastosowaniu metod opisanych w tym artykule.

Ransomware RYUK jest zjadliwym zagrożeniem ransomware, opartym na kodzie wirusów Hermes 2.1 i BitPaymer. Badacze uważają, że za opracowanie i wdrożenie wirusa odpowiada słynna grupa Lazarus. Dołącz najnowsze odmiany tego wirusa .RYK or zaszyfrowane rozszerzenie do zaszyfrowanych plików. Hakerzy żądają 15-50 BTC za odszyfrowanie, co jest ogromną kwotą. RYUK Ransomware nie omija UAC, wymaga pozwolenia na uruchomienie, co oznacza, że ​​użytkownik ma przyznany dostęp do komputera w celu pobrania pliku wykonywalnego wirusa. Ransomware szyfruje wszystkie pliki z wyjątkiem tych w następujących folderach: "Windows", "Mozilla", "Chrome", "RecycleBin", "Ahnlab". Przed rozpoczęciem destrukcyjnej aktywności złośliwe oprogramowanie zatrzymuje ponad 180 usług i 40 procesów, używając taskkill i net stop polecenia. Zatrzymane usługi i procesy dotyczą głównie oprogramowania antywirusowego, uruchamiania baz danych, oprogramowania do tworzenia kopii zapasowych i edycji dokumentów, które mogą uniemożliwić szyfrowanie plików.

To już czwarta odsłona Notoriousa STOP Ransomware, który został uruchomiony w listopadzie 2018 r. Teraz dodaje .OCZEKIWANIE NA DANE, .INFOWAĆ or .cień rozszerzenia do zaszyfrowanych plików. Wirus używa nowej nazwy dla żądania okupu: !readme.txt. Udaje, że jest aktualizacją systemu Windows i używa zasobu TeamViewer. Ransomware nadal wykorzystuje algorytm szyfrowania RSA-1024. Aktualna wersja STOP Ransomware została opracowana w Visual Studio 2017. Ta odmiana STOP Ransomware wymaga 290 $ okupu za odszyfrowanie. Złoczyńcy oferują 50% zniżki, jeśli użytkownicy zapłacą w ciągu 72 godzin. W tej chwili nie ma dostępnych narzędzi deszyfrujących dla STOP Ransomware.

Ransomware Puma, który zaczął atakować tysiące komputerów w listopadzie 2018 r., jest właściwie niczym innym jak kolejną odmianą STOP Ransomware. Dołącza się aktualną wersję .puma, pumax or pumy rozszerzeń do zaszyfrowanych plików i dlatego ma taki pseudonim. Wirus używa tej samej nazwy dla pliku z żądaniem okupu: !readme.txt. Deweloperzy próbowali zmylić usługi identyfikujące ransomware i użytkowników, dodając nowe rozszerzenia, ale używając tych samych szablonów, kodu i innych znaków jednoznacznie wskazują na przynależność do określonej rodziny. Jak widzimy z nazwy pliku wykonywalnego: updatewin.exe, udaje aktualizację systemu Windows. Puma (STOP) Ransomware nadal wykorzystuje algorytm szyfrowania RSA-1024. Aktualna wersja Puma Ransomware została opracowana w Visual Studio 2017.

KMSPick jest nielegalnym narzędziem do nieautoryzowanej aktywacji Microsoft Windows, Microsoft Office i innych produktów tej korporacji. KMS (Key Management System) to technologia używana przez firmę Microsoft do aktywacji oprogramowania i usług przy użyciu sieci lokalnej lub serwerów zdalnych. Umożliwia aktywację stałą oraz czasową (180 dni), co pozwala użytkownikom na przedłużanie bezprawnego korzystania z płatnych produktów. KMSPico można sklasyfikować jako narzędzie hakerskie do używania pirackiego oprogramowania. Jednak często jest łączony z RAT (trojanem zdalnego dostępu), PUP (potencjalnie niechcianymi programami), adware lub wirusami. Umożliwia to hakerom uzyskanie prywatnych informacji użytkownika, takich jak hasła, informacje o karcie kredytowej i inne. Złoczyńcy mogą również tworzyć botnety z komputerów zainfekowanych KMSPico.

Oprogramowanie ransomware Everbe 2.0 to druga generacja szeroko rozpowszechnionego oprogramowania ransomware Everbe. Jest to wirus szyfrujący pliki, który szyfruje pliki użytkownika za pomocą kombinacji algorytmów szyfrowania AES (lub DES) i RSA-2048, a następnie wymusza określoną kwotę w BitCoinach w celu odszyfrowania. Pierwotny wirus pojawił się po raz pierwszy w marcu 2018 roku i od tego czasu był bardzo aktywny. Badacze bezpieczeństwa uważają, że Everbe 2.0 Ransomware rozpoczął swoją dystrybucję 4 lipca 2018 r. Autorzy Everbe 2.0 Ransomware żądają od 300 do 1500 USD w BTC (BitCoins) za odszyfrowanie, ale oferują odszyfrowanie dowolnych 3 plików za darmo. Warto wspomnieć, że Everbe 2.0 Ransomware działa tylko na 64-bitowych wersjach systemu Windows. Obecnie nie ma dostępnych narzędzi deszyfrujących dla Everbe 2.0 Ransomware, jednak zalecamy skorzystanie z poniższych instrukcji i narzędzi.

Oprogramowanie ransomware GandCrab V4 czwarta generacja osławionego GandCrab Ransomware. Wirus wykorzystuje złożoną kombinację algorytmów szyfrowania AES-256 (tryb CBC), RSA-2048 i Salsa20. Ta konkretna wersja dodaje .KRAB rozszerzenie do zaszyfrowanych plików i tworzy nieco inną notatkę z żądaniem okupu tzw KRAB-DECRYPT.txt. GandCrab V4 Ransomware żąda okupu w BitCoinach. Zwykle waha się od 200 do 1000 USD. Złośliwe oprogramowanie szyfruje wszystkie typy plików z wyjątkiem tych znajdujących się na białej liście i niektórych niezbędnych do działania systemu Windows. Wszystkie zdjęcia, dokumenty, filmy, bazy danych są szyfrowane po wykryciu. Zastosowania wirusów Usuwanie kopii w tle WMIC.exe polecenie usunięcia kopii w tle i zmniejszenia szans na odzyskanie. Niestety, w chwili, gdy piszemy ten artykuł, obecne narzędzia deszyfrujące nie mogą odszyfrować GandCrab V4 Ransomware, ale nadal będziemy udostępniać linki do tych narzędzi, ponieważ mogą one być aktualizowane każdego dnia.