Wirusy

StripedFly to wysoce wyrafinowana, wieloplatformowa platforma szkodliwego oprogramowania, która w ciągu pięciu lat zainfekowała ponad milion systemów Windows i Linux. Początkowo został błędnie sklasyfikowany jako koparka kryptowaluty Monero, ale dalsze dochodzenie ujawniło jego prawdziwą naturę jako złośliwego oprogramowania z zaawansowanym trwałym zagrożeniem (APT). StripedFly to modułowa platforma, która może być przeznaczona zarówno dla systemów Windows, jak i Linux. Posiada wbudowany tunel sieciowy Tor do komunikacji z serwerem dowodzenia i kontroli (C&C) i korzysta z zaufanych usług, takich jak Bitbucket, GitLab i GitHub do mechanizmów aktualizacji i dostarczania. Szkodnik działa jako monolityczny plik wykonywalny binarny z wymiennymi modułami, co zapewnia mu wszechstronność operacyjną często kojarzoną z operacjami APT. Moduły te obejmują przechowywanie konfiguracji, aktualizację/dezinstalację, odwrotne proxy, obsługę różnych poleceń, zbieranie danych uwierzytelniających, powtarzalne zadania, moduł rozpoznania, infektor SSH, infektor SMBv1 i moduł wydobywający Monero. Obecność koparki kryptograficznej Monero jest uważana za próbę dywersji, a głównymi celami podmiotów zagrażających jest kradzież danych i wykorzystanie systemu ułatwiane przez inne moduły.

Jarjets to rodzaj ransomware, złośliwego oprogramowania zaprojektowanego w celu blokowania dostępu do systemu komputerowego lub plików do czasu zapłacenia określonej sumy pieniędzy. Został on wykryty podczas rutynowego badania nowych plików przesłanych do witryny VirusTotal. Gdy ransomware Jarjets infekuje system, szyfruje pliki i zmienia ich nazwy. Do oryginalnych tytułów dołączono literę A .Jarjets rozszerzenie. Na przykład plik o nazwie 1.jpg pojawiłby się jako 1.jpg.Jarjets, 2.png as 2.png.Jarjets, i tak dalej. Konkretny algorytm szyfrowania używany przez Jarjets nie jest wyraźnie wymieniony w wynikach wyszukiwania, ale oprogramowanie ransomware zazwyczaj wykorzystuje złożone metody szyfrowania, często stanowiące kombinację szyfrowania symetrycznego i asymetrycznego. Po zakończeniu procesu szyfrowania ransomware Jarjets tworzy notatkę z żądaniem okupu zatytułowaną Jarjets_ReadMe.txt. Ten plik tekstowy informuje ofiarę, że jej pliki zostały zaszyfrowane i namawia ją do skontaktowania się z cyberprzestępcami.

BlackDream Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane na komputerze ofiary i żąda zapłaty za ich odszyfrowanie. Został on odkryty przez badaczy podczas badania nowych zgłoszeń złośliwego oprogramowania do VirusTotal. Ransomware dołącza unikalny identyfikator, adres e-mail cyberprzestępców oraz plik .BlackDream rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o początkowej nazwie 1.jpg pojawiłby się jako 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. Po zakończeniu procesu szyfrowania zostanie wyświetlona notatka z żądaniem okupu pt ReadME-Decrypt.txt zostaje upuszczony. Ransomware BlackDream wykorzystuje nieokreśloną metodę szyfrowania plików. Notatka zapewnia ofiarę, że jej pliki nie zostały uszkodzone, ale zostały zaszyfrowane. Ostrzega, że ​​szukanie pomocy w odzyskaniu danych poza osobami atakującymi (tj. przy użyciu narzędzi lub usług stron trzecich) może sprawić, że danych nie będzie można odszyfrować. Z notatki wynika, że ​​odszyfrowanie będzie wymagało zapłacenia okupu w kryptowalucie Bitcoin, choć dokładna suma nie jest określona.

Lumar Stealer jest lekkim złośliwym oprogramowaniem typu złodziej napisanym w języku programowania C. Jego celem jest kradzież informacji, takich jak internetowe pliki cookie, przechowywane hasła i portfele kryptowalut. Po raz pierwszy zauważono, że Lumar był promowany na forach hakerskich w lipcu 2023 r. Szkodnik infiltruje systemy i zaczyna gromadzić odpowiednie dane o urządzeniu, takie jak nazwa urządzenia, procesor, pamięć RAM i układ klawiatury. Jego celem jest przede wszystkim informacja przechowywana w przeglądarkach, wyodrębnianie internetowych plików cookie i dane logowania (nazwy użytkowników, identyfikatory, adresy e-mail, hasła, hasła itp.). Jego celem są również sesje Telegram Messenger i zbiera informacje związane z portfelami kryptowalut. Lumar posiada funkcję grabbera, co oznacza, że ​​może pobierać pliki z komputerów ofiar. Interesujące formaty obejmują DOC, TXT, XLS, RDP i JPG. Jeśli podejrzewasz, że Twój komputer jest zainfekowany Lumar Stealer, zdecydowanie zaleca się korzystanie z niezawodnego oprogramowania antywirusowego w celu regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów.

Zput to rodzaj oprogramowania ransomware należącego do rodziny ransomware Djvu. Jest to szkodliwy program przeznaczony do szyfrowania plików i żądania okupu za ich odszyfrowanie. Ransomware Zput atakuje różne typy plików, takie jak filmy, zdjęcia, dokumenty i inne. Zmienia strukturę pliku i dołącza rozszerzenie .zput rozszerzenia do każdego pliku, czyniąc je niedostępnymi i bezużytecznymi bez odszyfrowania. Na przykład plik o początkowej nazwie 1.jpg pojawia się jako 1.jpg.zput, 2.png, tak jak 2.png.zput, i tak dalej. Zput Ransomware wykorzystuje algorytmy szyfrowania Salsa20 do szyfrowania zawartości docelowych plików. Ta solidna metoda szyfrowania sprawia, że ​​wybranie klucza deszyfrującego bez współpracy z atakującymi jest dość trudne, jeśli nie niemożliwe. Po zaszyfrowaniu plików ransomware Zput upuszcza notatkę z żądaniem okupu zatytułowaną _readme.txt. Notatka ta informuje ofiarę, że jej dane zostały zaszyfrowane i że odzyskanie zablokowanych plików wiąże się z koniecznością spełnienia żądań atakującego – zapłacenia okupu w celu uzyskania klucza/oprogramowania deszyfrującego.

Zpww Ransomware to rodzaj złośliwego oprogramowania należący do rodziny STOP/Djvu. Jego głównym celem jest wyłudzenie pieniędzy od ofiar poprzez szyfrowanie ich plików i żądanie okupu za ich odszyfrowanie. Okup zazwyczaj waha się od 490 do 980 dolarów i jest płatny w Bitcoinach. Po udanej infiltracji Zpww Ransomware skanuje każdy folder w poszukiwaniu plików, które może zaszyfrować. Następnie tworzy kopię pliku docelowego, usuwa oryginał, szyfruje kopię i pozostawia ją w miejscu usuniętego oryginału. Do zaszyfrowanych plików dołączane jest określone rozszerzenie .zpww. Ransomware wykorzystuje algorytm szyfrowania Salsa20, który choć nie jest najsilniejszą metodą, nadal zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących. Po procesie szyfrowania Zpww Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt w folderze, w którym znajduje się zaszyfrowany plik.

Zpas to infekcja oprogramowaniem ransomware szyfrującym pliki należącym do rodziny ransomware STOP/DJVU. Ogranicza dostęp do danych, takich jak dokumenty, obrazy i filmy, szyfrując pliki za pomocą rozszerzenia .zpas rozszerzenie. Następnie oprogramowanie ransomware próbuje wyłudzić pieniądze od ofiar, prosząc o „okup”, zazwyczaj w postaci kryptowaluty Bitcoin, w zamian za dostęp do danych. Kiedy komputer zostaje zainfekowany oprogramowaniem ransomware Zpas, skanuje system w poszukiwaniu obrazów, filmów oraz ważnych dokumentów i plików związanych z produktywnością, takich jak .doc, .docx, .xls, .pdf. Po wykryciu tych plików ransomware je szyfruje i zmienia ich rozszerzenie, czyniąc je niedostępnymi. Ransomware Zpas wykorzystuje solidny szyfr - Salsa20, którego nie da się "zhakować". Gdy ransomware Zpas zaszyfruje pliki na komputerze, wyświetla notatkę z żądaniem okupu o nazwie _readme.txt na pulpicie. Żądanie okupu zawiera instrukcje, jak skontaktować się z autorami tego ransomware za pośrednictwem adresów e-mail support@fishmail.top i datarestorehelp@airmail.cc. Ofiary tego oprogramowania ransomware proszone są o kontakt z twórcami szkodliwego oprogramowania. Żądany okup waha się od 490 do 980 dolarów (w bitcoinach).

Halo Ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do szyfrowania danych i żądania okupu za ich odszyfrowanie. Dołącza .halo rozszerzenie nazw plików zaszyfrowanych. Na przykład plik o początkowej nazwie 1.jpg pojawiłby się jako 1.jpg.halo. Po zaszyfrowaniu plików Halo Ransomware tworzy wiadomość z żądaniem okupu o nazwie !_INFO.txt. W notatce znajduje się informacja, że ​​pliki ofiary zostały zaszyfrowane i można je odzyskać jedynie po zapłaceniu okupu. Uwaga ostrzega przed zamykaniem systemu, zmianą nazw plików, próbami ręcznego odszyfrowania lub użyciem narzędzi do odzyskiwania innych firm, ponieważ może to spowodować, że danych nie będzie można odszyfrować. Konkretny algorytm szyfrowania plików używany przez Halo Ransomware nie jest znany. Jednak programy ransomware zazwyczaj używają symetrycznych lub asymetrycznych algorytmów kryptograficznych do szyfrowania plików.