Wirusy

Ransomware to jeden z najbardziej podstępnych rodzajów złośliwego oprogramowania atakującego użytkowników na całym świecie WaifuClub Ransomware to wariant, który dla wielu powoduje niepokój. W tym artykule szczegółowo opisano specyfikę oprogramowania ransomware WaifuClub, badając jego metody infekcji, stosowane rozszerzenia plików, stosowane szyfrowanie, generowany przez niego żądanie okupu, dostępność narzędzi deszyfrujących i potencjał odszyfrowania .svh or .wis akta. Po pomyślnej infekcji ransomware WaifuClub rozpoczyna proces szyfrowania, którego celem jest zablokowanie użytkownikom dostępu do ich własnych plików. Dołącza określone rozszerzenia do zaszyfrowanych plików, które mogą obejmować „.lock” lub odmiany zawierające dane kontaktowe cyberprzestępców, takie jak .[[random-id]].[[backup@waifu.club]].svh or .[[random-id]].[[MyFile@waifu.club]].wis jak widać w wynikach wyszukiwania. Ransomware wykorzystuje wyrafinowane algorytmy szyfrowania i bez klucza deszyfrującego odzyskanie dostępu do swoich plików przez ofiary jest prawie niemożliwe. Ransomware WaifuClub generuje notatkę z żądaniem okupu, która instruuje ofiary, jak postępować. Ta notatka ma zazwyczaj nazwę FILES ENCRYPTED.txt i jest umieszczany na pulpicie użytkownika lub w folderach zawierających zaszyfrowane pliki. Notatka zawiera dane kontaktowe cyberprzestępców, często wiele adresów e-mail, i żąda zapłaty, zwykle w Bitcoinach, w zamian za klucz odszyfrowujący.

Ransomware stało się jednym z najgroźniejszych zagrożeń w cyberświecie Crocodile Smile Ransomware wyrasta na znaczącego gracza. To złośliwe oprogramowanie szyfruje pliki na komputerze ofiary, żądając okupu za klucz deszyfrujący. W tym artykule szczegółowo opisano zawiłości oprogramowania ransomware Crocodile Smile, w tym metody infekcji, proces szyfrowania, szczegóły żądania okupu i możliwości odszyfrowania. Po infekcji Crocodile Smile rozpoczyna szyfrowanie plików na zainfekowanym komputerze. Dołącza .CrocodileSmile rozszerzenie nazw zaszyfrowanych plików, czyniąc je niedostępnymi dla użytkownika. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.CrocodileSmile po szyfrowaniu. To ransomware wykorzystuje kombinację technik szyfrowania symetrycznego i asymetrycznego, co sprawia, że ​​odszyfrowanie bez niezbędnych kluczy jest praktycznie niemożliwe. Po zaszyfrowaniu plików ransomware Crocodile Smile zmienia tapetę pulpitu i tworzy notatkę z żądaniem okupu zatytułowaną READ_SOLUTION.txt. Ta notatka informuje ofiarę, że bezpieczeństwo jej danych zostało naruszone i zawiera instrukcje dotyczące rozpoczęcia procesu deszyfrowania. Ofiary proszone są o skontaktowanie się z napastnikami za pośrednictwem wyznaczonego kanału komunikacji i uzgodnienie zapłaty okupu w wysokości 20.6 Bitcoina (około 1.4 miliona dolarów w momencie pisania tego tekstu). Po dokonaniu płatności napastnicy obiecują udostępnić klucz deszyfrujący wymagany do odszyfrowania plików, których dotyczy problem.

L00KUPRU Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary, czyniąc je niedostępnymi do czasu zapłacenia okupu. Ten wariant oprogramowania ransomware wpisuje się w szerszy trend cyberzagrożeń wykorzystujących szyfrowanie do wyłudzania pieniędzy od osób i organizacji. W tej analizie przyjrzymy się charakterystyce oprogramowania ransomware L00KUPRU, w tym jego mechanizmom infekcji, używanym rozszerzeniom plików, stosowanej metodzie szyfrowania, generowanemu przez niego żądaniu okupu oraz dostępnym opcjom odszyfrowania. Po infekcji ransomware L00KUPRU dołącza plik .L00KUPRU rozszerzenia plików, które szyfruje. To charakterystyczne rozszerzenie służy jako znacznik plików, których dotyczy problem, i sygnalizuje użytkownikowi, że jego dane zostały naruszone. Konkretny algorytm szyfrowania używany przez ransomware L00KUPRU nie jest znany, ale prawdopodobnie będzie to solidna metoda szyfrowania, której nie można łatwo złamać bez odpowiedniego klucza deszyfrującego. Ransomware L00KUPRU generuje żądanie okupu o nazwie HOW TO DECRYPT FILES.txt, który zawiera instrukcje dla ofiary dotyczące dalszego postępowania w sprawie płatności okupu. Notatka ta jest zwykle umieszczana na pulpicie użytkownika lub w katalogach zawierających zaszyfrowane pliki, aby mieć pewność, że ofiara ją zobaczy. Dodatkowo może pojawić się wyskakujące okienko z podobnymi informacjami, zachęcające użytkownika do podjęcia działań w celu odzyskania plików.

Rincrypt Ransomware to złośliwe oprogramowanie zaprojektowane do szyfrowania plików na komputerze ofiary, czyniąc je niedostępnymi do czasu zapłacenia okupu. Ten rodzaj cyberataku należy do szerszej kategorii oprogramowania ransomware, które stało się poważnym zagrożeniem dla osób, firm i organizacji na całym świecie. Rincrypt celuje w główne typy plików, aby je zaszyfrować i zażądać zapłaty za ich odszyfrowanie. Po infekcji Rincrypt rozpoczyna procedurę szyfrowania, celując w dokumenty, obrazy i inne krytyczne pliki danych. Dołącza cechę charakterystyczną .rincrypt rozszerzenie każdego zaszyfrowanego pliku, dzięki czemu można je łatwo zidentyfikować. Ransomware wykorzystuje kombinację symetrycznych i asymetrycznych algorytmów szyfrowania, które są bardzo bezpieczne i złożone. Ta metoda podwójnego szyfrowania zapewnia skuteczne blokowanie plików, a klucze deszyfrujące są generowane indywidualnie dla każdej ofiary. Po procesie szyfrowania Rincrypt Ransomware generuje notatkę z żądaniem okupu o nazwie READ THIS.txt lub wyświetla wyskakujące okienko z podobnym komunikatem. Notatka ta jest umieszczana na pulpicie lub w folderach zawierających zaszyfrowane pliki. Instruuje ofiary, jak kupić bitcoiny, skontaktować się z atakującym za pośrednictwem udostępnionych kanałów komunikacji i zapłacić okup, aby otrzymać klucz deszyfrujący. Należy jednak pamiętać, że zapłacenie okupu nie gwarantuje odzyskania zaszyfrowanych plików.

Złośliwe oprogramowanie Byakugan stanowi wyrafinowane i wieloaspektowe zagrożenie dla danych użytkownika, charakteryzujące się możliwością uniknięcia wykrycia poprzez połączenie legalnych i złośliwych komponentów. Ta odmiana złośliwego oprogramowania została starannie zaprojektowana w celu kradzieży wrażliwych danych użytkownika, pozostając poza radarem tradycyjnych środków bezpieczeństwa. Byakugan wyróżnia się różnorodnym arsenałem funkcji zaprojektowanych w celu wykorzystania różnych aspektów cyfrowego życia ofiary. Może monitorować ekran ofiary, robić zrzuty ekranu, dynamicznie dostosowywać intensywność swoich możliwości wydobywania kryptowalut, aby uniknąć wykrycia, rejestrować naciśnięcia klawiszy i wydobywać dane z powrotem na serwer kontrolny atakującego. Jego celem jest również popularne przeglądarki internetowe w celu kradzieży plików cookie, danych kart kredytowych, zapisanych haseł i historii pobierania. Aby uniknąć wykrycia, Byakugan naśladuje legalność, udając łagodne narzędzie do zarządzania pamięcią i manipuluje narzędziami bezpieczeństwa, dodając się do listy wykluczeń programu Windows Defender i modyfikując reguły zapory ogniowej. Zapewnia również odporną trwałość, tworząc zaplanowane zadanie, które uruchamia jego wykonanie przy każdym uruchomieniu systemu.

JSOutProx to wyrafinowane złośliwe oprogramowanie sklasyfikowane jako trojan dostępu zdalnego (RAT). Jest zbudowany głównie przy użyciu języka JScript, który jest implementacją standardu ECMAScript firmy Microsoft (powszechnie znanego jako JavaScript). Szkodnik ten umożliwia zdalny dostęp i kontrolę nad zainfekowanymi systemami, umożliwiając atakującym wykonywanie różnorodnych szkodliwych działań. Wykrycie JSOutProx może być trudne ze względu na stosowane w nim techniki zaciemniania i wykorzystywanie legalnie wyglądających plików w celu oszukania użytkowników. Jednak kilka wskaźników kompromisu (IoC) może pomóc w zidentyfikowaniu jego obecności. Należą do nich mechanizm trwałości, w którym JSOutProx zapisuje się do dwóch folderów i pozostaje aktywny po ponownym uruchomieniu, ukrywając się w kluczu rejestru HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Podczas fazy inicjalizacji JSOutProx zbiera ważne informacje o systemie, takie jak nazwy systemów, adresy IP, wolne miejsce na dysku twardym, zalogowany użytkownik itp., a następnie kontaktuje się z serwerem dowodzenia i kontroli, aby przypisać zainfekowanemu hostowi unikalny identyfikator. Szkodnik wykorzystuje hosta skryptów systemu Windows (WSH) i Instrumentację zarządzania Windows (WMI) do tworzenia procesów, co jest typową taktyką stosowaną przez złośliwe artefakty. Zaobserwowano również, że atakuje oprogramowanie takie jak Symantec VIP i klient poczty e-mail Outlook, co wskazuje na skupienie się na celach korporacyjnych o dużej wartości.

Uazq Ransomware to złośliwe oprogramowanie należące do kategorii oprogramowania szyfrującego ransomware. Jest częścią rodziny STOP/Djvu Ransomware, która działa od 2018 roku i znana jest z atakowania indywidualnych użytkowników. Podstawową funkcją Uazq Ransomware jest szyfrowanie plików na zainfekowanym komputerze, czyniąc je niedostępnymi dla użytkownika, a następnie żądając okupu za klucz deszyfrujący. Uazq Ransomware wykorzystuje algorytm szyfrowania Salsa20, który jest znany ze swoich silnych możliwości szyfrowania. Algorytm generuje ogromną liczbę możliwych kluczy deszyfrujących, co sprawia, że ​​próby złamania szyfrowania metodą brute-force są niepraktyczne. Do każdego zaszyfrowanego pliku ransomware dołącza plik .uazq rozszerzenie pliku, sygnalizując, że plik został naruszony. Po zaszyfrowaniu plików Uazq Ransomware tworzy notatkę z żądaniem okupu o nazwie _README.txt w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje dla ofiary, jak zapłacić okup i skontaktować się z atakującymi w celu uzyskania klucza deszyfrującego. Kwota okupu zazwyczaj waha się od 499 do 999 dolarów i jest płatna w Bitcoinach.

Kaaa Ransomware to złośliwe oprogramowanie zaprojektowane do szyfrowania plików na komputerze ofiary, czyniąc je niedostępnymi. Następnie napastnicy żądają od ofiary okupu w zamian za klucz deszyfrujący niezbędny do odblokowania plików. Kaaa jest identyfikowany jako część rodziny ransomware Stop/Djvu, znanej z szerokiego zasięgu i licznych wariantów. Po udanej infiltracji ransomware Kaaa rozpoczyna proces szyfrowania, którego celem jest szeroka gama typów plików. Dołącza .kaaa rozszerzenie każdego zaszyfrowanego pliku, dzięki czemu można je łatwo zidentyfikować. Na przykład plik o oryginalnej nazwie photo.jpg zostanie przemianowany na photo.jpg.kaaa po szyfrowaniu. Algorytm szyfrowania stosowany przez ransomware Kaaa to połączenie kryptografii symetrycznej i asymetrycznej, w szczególności wykorzystującej algorytmy ChaCha20 i RSA. To podwójne podejście zapewnia niezawodne szyfrowanie, przy czym algorytm RSA szyfruje klucz ChaCha20, co wymaga posiadania unikalnego klucza deszyfrującego w posiadaniu atakujących. Po zaszyfrowaniu plików ransomware Kaaa generuje notatkę z żądaniem okupu o nazwie _README.txt lub jego wariant, który jest umieszczany w każdym folderze zawierającym zaszyfrowane pliki.