Wirusy

Ahgr Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za ich uwolnienie. Ahgr jest częścią rodziny ransomware Djvu i szyfruje pliki, dodając rozszerzenie .ahgr rozszerzenie ich nazw. Ransomware Ahgr wykorzystuje algorytm szyfrowania Salsa20, który zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących, co utrudnia brutalne użycie 78-cyfrowej liczby kluczy. Kiedy Ahgr ransomware infekuje komputer, tworzy żądanie okupu jako plik tekstowy o nazwie _readme.txt w każdym folderze, w którym oprogramowanie ransomware zaszyfrowało pliki. Notatka zapewnia ofiary, że mogą odzyskać wszystkie swoje pliki i twierdzi, że różne pliki, w tym zdjęcia, bazy danych, dokumenty i inne ważne dane, zostały zaszyfrowane przy użyciu solidnego szyfrowania.

Ahui Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda zapłaty w zamian za klucz odszyfrowywania. Jest to wariant tzw STOP/Djvu rodzina oprogramowania ransomware. Złośliwe oprogramowanie dodaje .ahui rozszerzenie do zaszyfrowanych plików. Po zainfekowaniu komputera ransomware wyszukuje ważne dane użytkownika, takie jak bazy danych, archiwa, arkusze kalkulacyjne, obrazy i inne typy plików. Wykorzystuje algorytm szyfrowania Salsa20, który nie jest najsilniejszą metodą, ale nadal zapewnia przytłaczającą liczbę możliwych kluczy deszyfrujących. Aby brutalnie wymusić 78-cyfrową liczbę kluczy, potrzebujesz 3.5 unvigintillion lat (1*10^65), nawet jeśli używasz najpotężniejszego zwykłego komputera. Komputery kwantowe mogą wykazywać nieco lepszą wydajność, ale to wciąż za mało, aby złamać szyfrowanie. Ransomware Ahui tworzy żądanie okupu o nazwie _readme.txt w każdym folderze, w którym szyfruje pliki.

Bycie częścią STOP/Djvu rodzina, Neon to wirus typu ransomware, który blokuje dane osobowe. Ta wersja została wydana w pierwszych dniach czerwca 2023 roku. Szyfrowanie odbywa się za pomocą algorytmów klasy wojskowej, które generują klucze online na specjalnych serwerach. Dzięki temu żadne narzędzia innych firm nie będą miały dostępu do kluczy w celu odszyfrowania plików. Podobnie jak inne infekcje tego typu, Neon zmienia nazwy każdego zainfekowanego pliku. Czyni to poprzez dodanie nowego rozszerzenia (.neon) do każdego zaszyfrowanego fragmentu. Na przykład plik podobny do 1.pdf zostanie zmodyfikowany i zmieni nazwę na 1.pdf.neon po zaszyfrowaniu. Po zakończeniu tego etapu wirusa - Neon Ransomware tworzy notatkę tekstową o nazwie _readme.txt zawierające instrukcje deszyfrowania. Szereg innych wariantów ransomware opracowanych przez Djvu wykorzystywało tę samą treść w instrukcjach dotyczących okupu.

CrossLock to niebezpieczne złośliwe oprogramowanie sklasyfikowane jako ransomware. Aktywność tego krypto-ransomware'a rozpoczęła się w połowie kwietnia 2023 roku. Zgodnie z okupem nie jest ono skierowane do anglojęzycznych użytkowników, ale może rozprzestrzeniać się po całym świecie. To ransomware szyfruje dane użytkownika za pomocą kombinacji algorytmów Curve25519 i ChaCha20, a następnie żąda okupu w Bitcoinach, aby odzyskać pliki. Oryginalna nazwa jest wskazana w notatce: CrossLock. Wykryty plik wykonywalny to notepad.exe (może mieć inną losową nazwę). Złośliwe oprogramowanie zostało napisane w języku Go. Rozszerzenie jest dodawane do zaszyfrowanych plików: .crlk. CrossLock Ransomware tworzy żądanie okupu, tzw ---CrossLock_readme_To_Decrypt---.txt w folderach z zaszyfrowanymi plikami oraz na pulpicie. Poniżej treść tej notatki.

Neqp to infekcja ransomware należąca do rodziny Djvu/STOP Ransomware, która pojawiła się w czerwcu 2023 roku. Ta rodzina wydała szereg programów szyfrujących pliki, których celem są różni użytkownicy na całym świecie. Gdy system zostanie przeniknięty przez ransomware, wirus zaczyna wyszukiwać potencjalnie wartościowe formaty plików i uruchamia szyfrowanie danych. Po zastosowaniu szyfrowania kryptograficznego użytkownicy nie będą już mogli uzyskiwać dostępu do swoich danych i korzystać z nich tak jak wcześniej. Możesz natychmiast zauważyć zmianę, patrząc na zmienione nazwy plików. To konkretne oprogramowanie ransomware przypisuje plik .neqp rozszerzenie, tworząc plik podobny do 1.pdf zmień na 1.pdf.neqp i zresetuj jego oryginalną ikonę. Zwykle Neqp Ransomware i inne nowoczesne wersje Djvu/STOP generują klucze „online”, co oznacza, że ​​pełne odszyfrowanie danych jest prawdopodobnie niemożliwe bez pomocy cyberprzestępców. Czasami są jednak od tego wyjątki – o których można przeczytać poniżej.

Podobnie jak wiele poprzednich wersji tego wirusa, Nerz Ransomware to złośliwy program opracowany niedawno przez firmę STOP (Djvu) rodzina ransomware, która uruchamia szyfrowanie danych. Po dostaniu się do komputera wirus pokrywa wszystkie dane osobowe silnymi algorytmami szyfrowania, dzięki czemu nie możesz już uzyskać do nich dostępu. Niestety, zapobieganie blokowaniu danych przez oprogramowanie ransomware jest niemożliwe, chyba że na komputerze jest zainstalowane specjalne oprogramowanie chroniące przed złośliwym oprogramowaniem. W przypadku jego braku pliki przechowywane na Twoich dyskach będą ograniczone i niedostępne. Po zakończeniu procesu szyfrowania zobaczysz, że wszystkie pliki zmieniają się na 1.pdf.nerz i podobnie z innymi nazwami plików. Ta wersja ransomware STOP używa nerz rozszerzenie, aby podświetlić zaszyfrowane dane. Następnie, gdy tylko oprogramowanie ransomware przeniknie przez twój system i zablokuje wszystkie poufne dane, posuwa się dalej, tworząc żądanie okupu (_readme.txt).

Hidden Ransomware, wariant tzw ransomware Voidcrypt, to złośliwy program, który wykonuje swoje nikczemne działania, szyfrując dane, a następnie żądając okupu w zamian za narzędzia deszyfrujące. W ramach procesu szyfrowania wszystkie pliki, których dotyczy problem, przechodzą proces zmiany nazwy, przyjmując określony wzorzec. Nowe nazwy plików zawierają oryginalną nazwę pliku, adres e-mail cyberprzestępców, unikalny identyfikator przypisany ofiarom oraz .hidden rozszerzenie. Na przykład plik o nazwie 1.pdf zamieniłby się w coś takiego 1.pdf.[Wannadecryption@gmail.com][random-sequence].Hidden po zaszyfrowaniu. Oprócz zmiany nazwy pliku, ransomware upuszcza wiadomości z żądaniem okupu !INFO.HTA pliki w zaatakowanych folderach.

Werz Ransomware (znany również jako STOP Ransomware) to rujnujący wirus, którego zasada działania opiera się na silnym szyfrowaniu plików i wyłudzaniu pieniędzy. Istnieje ponad 700 wersji tego złośliwego oprogramowania, z kilkoma głównymi modyfikacjami i licznymi drobnymi zmianami. Najnowsze używają losowych 4-literowych rozszerzeń dodawanych do plików, których dotyczy problem, aby wskazać, że są zaszyfrowane. Werz pojawił się pod koniec maja 2023 roku. Od samego początku Werz Ransomware używał algorytmu szyfrowania AES-256 (tryb CFB). W zależności od dokładnego rozszerzenia istnieją nieco inne, ale podobne metody usuwania i odszyfrowywania. Odmiana będąca przedmiotem badań wykorzystuje się dzisiaj .werz rozszerzenia. Podobnie jak jego poprzednicy, tworzy żądanie okupu o nazwie _readme.txt, poniżej znajduje się przykład takiego pliku tekstowego.