Wirusy

RisePro Stealer to rodzaj złośliwego oprogramowania zwanego złodziejem informacji, którego zadaniem jest zbieranie wrażliwych danych z zainfekowanych komputerów. Jest napisany w C++ i wydaje się być klonem lub wariantem złodzieja Vidar, mającym podobne funkcjonalności i cechy. RisePro atakuje popularne przeglądarki internetowe, takie jak Firefox, Opera i Chrome, kradnąc zapisane hasła, dane kart kredytowych i kryptowaluty. Może także wyodrębnić dane uwierzytelniające z zainstalowanego oprogramowania, takiego jak Discord i Authy Desktop. Szkodnik wyszukuje na zainfekowanym komputerze określone wzorce plików, takie jak informacje o rachunkach bankowych i kartach kredytowych, a następnie wysyła skradzione dane do serwera dowodzenia i kontroli (C&C) obsługiwanego przez cyberprzestępców. Dla użytkowników, którzy czują się wystarczająco pewnie, dostępne są również kroki ręcznego usuwania, ale wymagają one bardziej technicznego podejścia i mogą być bardziej ryzykowne. Przed rozpoczęciem procesu usuwania niezwykle ważne jest utworzenie kopii zapasowej wszystkich plików, ponieważ niektóre poniższe dane mogą zostać uszkodzone lub utracone podczas czyszczenia.

JaskaGO malware to wyrafinowane złośliwe oprogramowanie opracowane przy użyciu języka programowania Go, znanego również jako Golang. Po raz pierwszy zaobserwowano go w lipcu 2023 r. i początkowo jego celem byli użytkownicy komputerów Mac, ale od tego czasu ewoluował, aby infekować zarówno systemy Windows, jak i macOS. Szkodnik wpisuje się w rosnący trend zagrożeń wykorzystujących język programowania Go ze względu na jego prostotę, wydajność i możliwości działania na wielu platformach. JaskaGO to złodziej informacji, co oznacza, że ​​doskonale radzi sobie z wydobywaniem cennych informacji z zainfekowanych systemów. Dane te mogą obejmować dane uwierzytelniające przeglądarki, szczegóły portfela kryptowalut i inne wrażliwe pliki użytkownika. Szkodnik komunikuje się z serwerem dowodzenia i kontroli (C&C), z którego może otrzymywać różne polecenia, w tym zbieranie danych i eksfiltrację. Pamiętaj, że najlepszą obroną przed złośliwym oprogramowaniem jest zapobieganie. Regularnie aktualizuj swoje oprogramowanie, unikaj pobierania z niezaufanych źródeł i korzystaj z niezawodnego rozwiązania zabezpieczającego, aby chronić swój system.

Hook trojan bankowy to rodzaj złośliwego oprogramowania zaprojektowanego w celu kradzieży danych osobowych od zainfekowanych użytkowników. Został on opracowany przy użyciu kodu źródłowego backdoora ERMAC, kolejnego cieszącego się złą sławą złośliwego oprogramowania. Hak jest wynajmowany przez operatorów za 7,000 dolarów miesięcznie. Jego celem jest szeroka gama aplikacji, w szczególności związanych z bankowością i kryptowalutami, i można go znaleźć w plikach APK będących klonami Google Chrome. Szkodnik ma szeroki zakres funkcjonalności, w tym rejestrowanie naciśnięć klawiszy, ataki nakładkowe w celu wyświetlenia okien phishingowych w aplikacjach bankowych oraz automatyczną kradzież nasion odzyskiwania kryptowalut. Potrafi także przesyłać strumieniowo ekran ofiary, wchodzić w interakcję z interfejsem w celu uzyskania pełnej kontroli nad urządzeniem, robić zdjęcia ofierze za pomocą przedniego aparatu i kraść pliki cookie związane z sesjami logowania do Google.

BlackBit to wyrafinowana odmiana oprogramowania ransomware, odkryta po raz pierwszy w lutym 2023 r. Jest to odmiana oprogramowania ransomware LokiLocker i wykorzystuje platformę .NET Reactor do zaciemniania kodu, co prawdopodobnie utrudnia analizę. Oprogramowanie ransomware opiera się na modelu oprogramowania ransomware jako usługi (RaaS), w którym grupy oprogramowania ransomware dzierżawią swoją infrastrukturę. BlackBit modyfikuje nazwy plików, dodając na początek adres e-mail spystar@onionmail.org, identyfikator ofiary i dołączając .BlackBit rozszerzenie nazw plików. Na przykład zmienia nazwę 1.jpg do [spystar@onionmail.org][random-id]1.jpg.BlackBit. BlackBit Ransomware prawdopodobnie wykorzystuje silny algorytm szyfrowania, taki jak AES lub RSA, do szyfrowania plików ofiary, czyniąc je niedostępnymi bez klucza deszyfrującego. Ransomware BlackBit tworzy żądanie okupu o nazwie Restore-My-Files.txt i umieszcza go w każdym folderze zawierającym zaszyfrowane pliki. Notatka z żądaniem okupu instruuje ofiary, aby skontaktowały się z atakującymi pod adresem spystar@onionmail.org. Oprócz pliku tekstowego BlackBit zmienia także tapetę pulpitu i wyświetla wyskakujące okienko zawierające notatkę z żądaniem okupu.

Lomx Ransomware to rodzaj złośliwego oprogramowania należącego do rodziny ransomware Djvu. Jego podstawową funkcją jest szyfrowanie plików na zainfekowanym komputerze, czyniąc je niedostępnymi dla użytkownika. Po zaszyfrowaniu plików Lomx dołącza plik .lomx rozszerzenie nazw plików, skutecznie oznaczając je jako zaszyfrowane. Na przykład plik o oryginalnej nazwie photo.jpg zostanie przemianowany na photo.jpg.lomx po szyfrowaniu. Po zainfekowaniu komputera Lomx atakuje różne typy plików i szyfruje je przy użyciu solidnego algorytmu szyfrowania. Dokładna metoda szyfrowania używana przez Lomx nie jest określona w dostarczonych źródłach, ale oprogramowanie ransomware z rodziny Djvu często używa silnych algorytmów szyfrowania, które są trudne do złamania bez klucza deszyfrującego. Lomx tworzy żądanie okupu o nazwie _readme.txt w katalogach zawierających zaszyfrowane pliki. Ta notatka informuje ofiary, że ich pliki zostały zaszyfrowane i że muszą zakupić od atakujących narzędzie i klucz deszyfrujący, aby odzyskać swoje pliki. Notatka zazwyczaj zawiera instrukcje dotyczące zapłacenia okupu i dane kontaktowe atakujących.

Loqw Ransomware to niebezpieczny wirus komputerowy należący do rodziny ransomware STOP (Djvu). Jego głównym celem jest szyfrowanie plików na komputerze ofiary i żądanie okupu za ich odszyfrowanie. Przestępcy stojący za tym oprogramowaniem ransomware stosują różne taktyki inżynierii społecznej, aby zwabić niczego niepodejrzewających użytkowników do pobrania lub uruchomienia złośliwego oprogramowania. Gdy ransomware Loqw infekuje komputer, szyfruje pliki i dodaje .lokw rozszerzenie każdej nazwy pliku. Ransomware Loqw wykorzystuje algorytm szyfrowania Salsa20. Ta metoda nie jest najsilniejsza, ale nadal zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących. Aby brutalnie wymusić 78-cyfrową liczbę kluczy, potrzeba 3.5 unvigintillion lat (1*10^65), nawet jeśli używasz najpotężniejszego zwykłego komputera PC. Po zaszyfrowaniu plików ransomware Loqw tworzy notatkę z żądaniem okupu o nazwie _readme.txt. Notatka ta zawiera instrukcje dla ofiary dotyczące sposobu zapłaty okupu, który waha się od 490 do 980 dolarów (w bitcoinach).

GREEDYFATHER to rodzaj ransomware, złośliwego oprogramowania, które szyfruje dane na komputerze ofiary i żąda okupu za ich odszyfrowanie. W tym artykule szczegółowo opisano oprogramowanie ransomware GREEDYFATHER, jego metody infekcji, dodawane rozszerzenia plików, stosowane szyfrowanie, generowaną przez niego notatkę z żądaniem okupu oraz potencjalne narzędzia i metody deszyfrowania. GREEDYFATHER Ransomware dołącza plik .GREEDYFATHER rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o nazwie 1.jpg zostanie przemianowany na 1.jpg.GREEDYFATHER. Konkretny algorytm szyfrowania używany przez ransomware GREEDYFATHER nie jest wyraźnie wymieniony w wynikach wyszukiwania. Jednak oprogramowanie ransomware zazwyczaj wykorzystuje silne algorytmy szyfrowania, takie jak AES (Advanced Encryption Standard) lub RSA (Rivest-Shamir-Adleman) do szyfrowania plików. Te metody szyfrowania są praktycznie nie do złamania bez prawidłowego klucza deszyfrującego. Po zaszyfrowaniu plików GREEDYFATHER tworzy żądanie okupu o nazwie GREEDYFATHER.txt w każdym katalogu zawierającym zaszyfrowane pliki. Notatka zapewnia ofiarę, że zaszyfrowane pliki można odzyskać i instruuje ją, aby wysłała atakującym kilka zablokowanych plików w celu testowego odszyfrowania. Ostrzega również przed korzystaniem z bezpłatnych narzędzi deszyfrujących.

Ljaz Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi. Następnie atakujący żądają okupu, często w formie kryptowaluty, w zamian za dostarczenie klucza lub narzędzia deszyfrującego niezbędnego do odblokowania zaszyfrowanych plików. Ljaz Ransomware dodaje .ljaz rozszerzenie pliku do zaszyfrowanych plików. Ljaz Ransomware tworzy notatkę z żądaniem okupu w pliku tekstowym o nazwie _readme.txt. Ta notatka zazwyczaj zawiera instrukcje dotyczące zapłacenia okupu w celu uzyskania klucza lub narzędzia deszyfrującego. Rodzina STOP/Djvu Ransomware wykorzystuje algorytm szyfrowania Salsa20 do szyfrowania plików ofiary. Wykorzystuje również szyfrowanie RSA, które jest jedną z najczęściej używanych metod szyfrowania przez grupy ransomware. Ransomware rozpoczyna swój łańcuch wykonawczy od kilku poziomów zaciemniania, których celem jest spowolnienie analizy kodu przez analityków zagrożeń i zautomatyzowane piaskownice.