Wirusy

To już czwarta odsłona Notoriousa STOP Ransomware, który został uruchomiony w listopadzie 2018 r. Teraz dodaje .OCZEKIWANIE NA DANE, .INFOWAĆ or .cień rozszerzenia do zaszyfrowanych plików. Wirus używa nowej nazwy dla żądania okupu: !readme.txt. Udaje, że jest aktualizacją systemu Windows i używa zasobu TeamViewer. Ransomware nadal wykorzystuje algorytm szyfrowania RSA-1024. Aktualna wersja STOP Ransomware została opracowana w Visual Studio 2017. Ta odmiana STOP Ransomware wymaga 290 $ okupu za odszyfrowanie. Złoczyńcy oferują 50% zniżki, jeśli użytkownicy zapłacą w ciągu 72 godzin. W tej chwili nie ma dostępnych narzędzi deszyfrujących dla STOP Ransomware.

Ransomware Puma, który zaczął atakować tysiące komputerów w listopadzie 2018 r., jest właściwie niczym innym jak kolejną odmianą STOP Ransomware. Dołącza się aktualną wersję .puma, pumax or pumy rozszerzeń do zaszyfrowanych plików i dlatego ma taki pseudonim. Wirus używa tej samej nazwy dla pliku z żądaniem okupu: !readme.txt. Deweloperzy próbowali zmylić usługi identyfikujące ransomware i użytkowników, dodając nowe rozszerzenia, ale używając tych samych szablonów, kodu i innych znaków jednoznacznie wskazują na przynależność do określonej rodziny. Jak widzimy z nazwy pliku wykonywalnego: updatewin.exe, udaje aktualizację systemu Windows. Puma (STOP) Ransomware nadal wykorzystuje algorytm szyfrowania RSA-1024. Aktualna wersja Puma Ransomware została opracowana w Visual Studio 2017.

KMSPick jest nielegalnym narzędziem do nieautoryzowanej aktywacji Microsoft Windows, Microsoft Office i innych produktów tej korporacji. KMS (Key Management System) to technologia używana przez firmę Microsoft do aktywacji oprogramowania i usług przy użyciu sieci lokalnej lub serwerów zdalnych. Umożliwia aktywację stałą oraz czasową (180 dni), co pozwala użytkownikom na przedłużanie bezprawnego korzystania z płatnych produktów. KMSPico można sklasyfikować jako narzędzie hakerskie do używania pirackiego oprogramowania. Jednak często jest łączony z RAT (trojanem zdalnego dostępu), PUP (potencjalnie niechcianymi programami), adware lub wirusami. Umożliwia to hakerom uzyskanie prywatnych informacji użytkownika, takich jak hasła, informacje o karcie kredytowej i inne. Złoczyńcy mogą również tworzyć botnety z komputerów zainfekowanych KMSPico.

Oprogramowanie ransomware Everbe 2.0 to druga generacja szeroko rozpowszechnionego oprogramowania ransomware Everbe. Jest to wirus szyfrujący pliki, który szyfruje pliki użytkownika za pomocą kombinacji algorytmów szyfrowania AES (lub DES) i RSA-2048, a następnie wymusza określoną kwotę w BitCoinach w celu odszyfrowania. Pierwotny wirus pojawił się po raz pierwszy w marcu 2018 roku i od tego czasu był bardzo aktywny. Badacze bezpieczeństwa uważają, że Everbe 2.0 Ransomware rozpoczął swoją dystrybucję 4 lipca 2018 r. Autorzy Everbe 2.0 Ransomware żądają od 300 do 1500 USD w BTC (BitCoins) za odszyfrowanie, ale oferują odszyfrowanie dowolnych 3 plików za darmo. Warto wspomnieć, że Everbe 2.0 Ransomware działa tylko na 64-bitowych wersjach systemu Windows. Obecnie nie ma dostępnych narzędzi deszyfrujących dla Everbe 2.0 Ransomware, jednak zalecamy skorzystanie z poniższych instrukcji i narzędzi.

Oprogramowanie ransomware GandCrab V4 czwarta generacja osławionego GandCrab Ransomware. Wirus wykorzystuje złożoną kombinację algorytmów szyfrowania AES-256 (tryb CBC), RSA-2048 i Salsa20. Ta konkretna wersja dodaje .KRAB rozszerzenie do zaszyfrowanych plików i tworzy nieco inną notatkę z żądaniem okupu tzw KRAB-DECRYPT.txt. GandCrab V4 Ransomware żąda okupu w BitCoinach. Zwykle waha się od 200 do 1000 USD. Złośliwe oprogramowanie szyfruje wszystkie typy plików z wyjątkiem tych znajdujących się na białej liście i niektórych niezbędnych do działania systemu Windows. Wszystkie zdjęcia, dokumenty, filmy, bazy danych są szyfrowane po wykryciu. Zastosowania wirusów Usuwanie kopii w tle WMIC.exe polecenie usunięcia kopii w tle i zmniejszenia szans na odzyskanie. Niestety, w chwili, gdy piszemy ten artykuł, obecne narzędzia deszyfrujące nie mogą odszyfrować GandCrab V4 Ransomware, ale nadal będziemy udostępniać linki do tych narzędzi, ponieważ mogą one być aktualizowane każdego dnia.

Ransomware Qweuirtksd jest niebezpiecznym wirusem typu ransomware, który szyfruje pliki użytkownika przy użyciu algorytmu kryptograficznego AES-128 i żąda 500 $ okupu w bitcoinach za odszyfrowanie. Wszystkie pliki zaszyfrowane przez to złośliwe oprogramowanie otrzymują .qweuirtksd rozbudowa. W większości przypadków Qweuirtksd Ransomware jest inicjowany po ręcznym (lub półautomatycznym) włamaniu się do komputera. Ataki pochodzą z adresów IP w Rosji, a według informacji na forum BleepingComputer złoczyńcami są Rosjanie. Hakerzy oferują negocjacje w celu zmniejszenia kwoty okupu dla prywatnych użytkowników. Nie zalecamy płacenia okupu i prób odzyskania zaszyfrowanych plików za pomocą instrukcji na tej stronie.

AUDYT Ransomware to kolejna wersja znanego wirusa ransomware z Crysis-Dharma-Cezar rodzina. Teraz dodaje .REWIZJA rozszerzenie do zaszyfrowanych plików (proszę nie mylić z plikami raportów Nessus Pro). Ta odmiana ransomware obecnie nie ma deszyfratora, jednak zalecamy wypróbowanie poniższych instrukcji w celu odzyskania plików, których dotyczy problem. Dharma-AUDIT Ransomware dodaje sufiks, który składa się z kilku części, takich jak: unikalny identyfikator użytkownika, adres e-mail programisty i wreszcie, .REWIZJA sufiks, od którego wzięła swoją nazwę. Schemat modyfikacji nazwy pliku wygląda następująco: plik o nazwie 1. dok zostanie przekonwertowany na 1.doc.id-{8-cyfrowy-identyfikator}.[{adres-e-mail}].AUDYT. Z naszych informacji wynika, że ​​hakerzy żądają od ofiar okupu w wysokości 10000 XNUMX USD. Zła wiadomość jest taka, że ​​używanie kryptowalut i serwisów płatniczych hostowanych przez TOR sprawia, że ​​śledzenie odbiorcy jest prawie niemożliwe. Poza tym ofiary takich wirusów często padają ofiarami oszustw, a przestępcy nie wysyłają żadnych kluczy nawet po zapłaceniu okupu. Niestety, ręczne lub automatyczne odszyfrowanie jest niemożliwe, chyba że oprogramowanie ransomware zostało opracowane z błędami lub ma pewne błędy wykonania, wady lub luki w zabezpieczeniach. Nie zalecamy płacenia jakichkolwiek pieniędzy złoczyńcom. Jednak dobrą wiadomością jest to, że często po pewnym czasie specjaliści ds. bezpieczeństwa z firm antywirusowych lub indywidualni badacze dekodują algorytmy i uwalniają klucze deszyfrujące lub policja znajduje serwery i ujawnia klucze główne.

Oprogramowanie ransomware CryptConsole 3 jest następcą Konsola Kryptowalna i Kryptowa konsola 2 wirusy ransomware. Ten krypto-szantażysta szyfruje dane na serwerach i komputerach za pomocą algorytmu AES, a następnie żąda okupu w wysokości 0.14 BTC (lub czasami 50 USD) za zwrot plików. Wirus został stworzony w C# dla Microsoft .NET Framework. Trzecia generacja CryptConsole zaczęła się rozprzestrzeniać w czerwcu 2018 roku. Większość odmian wyłudza 50 $. Oferują odszyfrowanie 1 pliku za darmo, ale całkowity koszt wzrośnie wtedy do 50 $. Wspomnij, że CryptConsole 1 i CryptConsole 2 można odszyfrować za pomocą narzędzia opracowanego przez Michaela Gillespie (do pobrania poniżej). Trzecia wersja jest obecnie nieodszyfrowalna. Możesz przywracać pliki z kopii zapasowych, ale jeśli nie masz kopii zapasowych, postępuj zgodnie z poniższymi instrukcjami, aby spróbować przywrócić pliki przy użyciu standardowych funkcji systemu Windows lub oprogramowania do odzyskiwania plików.