Wirusy

Vaze Ransomware (znany jako STOP Ransomware or Djvu Ransomware) jest szeroko rozpowszechnionym szantażystą wirusów szyfrujących pliki. Jest to jedno z najniebezpieczniejszych programów ransomware o wysokim stopniu szkodliwości i współczynniku rozpowszechnienia. Wykorzystuje algorytm szyfrowania AES-256 w trybie CFB z zerowym IV i pojedynczym 32-bajtowym kluczem dla wszystkich plików. Maksymalnie 0x500000 bajtów (~5 Mb) danych na początku każdego pliku jest szyfrowanych. Wirus dołącza .vaze rozszerzenia do zakodowanych plików. Infekcja wpływa na ważne i cenne pliki. Są to dokumenty MS Office, OpenOffice, PDF, pliki tekstowe, bazy danych, zdjęcia, muzyka, wideo, pliki obrazów, archiwa, pliki aplikacji itp. Djvu Ransomware nie szyfruje plików systemowych, aby upewnić się, że system Windows działa poprawnie, a użytkownicy mogą przeglądaj internet, odwiedź stronę płatności i zapłać okup. Tworzy Vaze Ransomware _readme.txt plik, który nazywa się "żądanie okupu" i zawiera instrukcje dotyczące płatności oraz dane kontaktowe. Wirus umieszcza go na pulpicie oraz w folderach z zaszyfrowanymi plikami. Deweloperzy oferują następujące dane kontaktowe: support@freshmail.top i datarestorehelp@airmail.cc.

Zgubny wirus znany jako STOP Ransomware, w szczególności jego najnowszą odmianę Vapo Ransomware nie rozluźnia się i kontynuuje swoją złośliwą działalność nawet podczas szczytu rzeczywistej pandemii koronawirusa. Hakerzy wypuszczają nowe odmiany co 3-4 dni i nadal trudno jest zapobiec infekcji i wyleczyć się z niej. Ostatnie wersje mają zmodyfikowane rozszerzenia, które są dodawane na końcu plików, których dotyczy problem, teraz są to: .vapo. Chociaż istnieją narzędzia deszyfrujące firmy Emsisoft dostępne dla poprzednich wersji, najnowsze z nich zazwyczaj nie są możliwe do odszyfrowania. Procesy penetracji, infekcji i szyfrowania pozostają takie same: kampanie spamowe, pobieranie peer-to-peer, nieuwaga użytkownika i brak przyzwoitej ochrony prowadzą do poważnej utraty danych po zaszyfrowaniu przy użyciu silnych algorytmów AES-256. Po zakończeniu swojej niszczycielskiej działalności Vapo Ransomware pozostawia plik tekstowy – żądanie okupu, tzw _readme.txt, z którego możemy się dowiedzieć, że odszyfrowanie kosztuje od 490 do 980 dolarów i jest niemożliwe bez pewnego klucza deszyfrującego.

Gatq Ransomware jest w rzeczywistości podtypem notorycznie STOP Ransomware (DjVu Ransomware ), który jest aktywny od grudnia 2017 roku. Wirus wykorzystuje algorytm szyfrowania AES-256 (tryb CFB). Ta nowa wersja pojawiła się w połowie maja 2023 i dodaje .gatq rozszerzenie do zaszyfrowanych plików. STOP Ransomware należy do rodziny kryptowirusów, które żądają pieniędzy w zamian za odszyfrowanie. Dobrą wiadomością jest to, że większość poprzednich wersji Gatq Ransomware można było odszyfrować za pomocą specjalnego narzędzia o nazwie STOP Djvu Decryptor (link do pobrania poniżej w artykule), opracowany przez firmę EmsiSoft. Gatq Ransomware wykorzystuje dokładnie te same wiadomości e-mail, wzorce żądań okupu i inne parametry, co dziesiątki jego poprzedników: support@freshmail.top i datarestorehelp@airmail.cc. Tworzy złośliwe oprogramowanie _readme.txt plik z żądaniem okupu ze wszystkimi informacjami kontaktowymi i wyjaśnieniami.

Gaze Ransomware jest jedną z wielu wersji ransomware wydanych przez STOP/Djvu rodzina. Ta konkretna wersja została wydana pod koniec maja 2023 roku. Podobnie jak starsze wersje, Gaze Ransomware szyfruje dane przechowywane na komputerze i żąda okupu w postaci kryptowaluty za unikalne oprogramowanie deszyfrujące, które odblokuje te dane. Najczęściej złośliwe oprogramowanie, takie jak Gaze, przeszukuje dostępne pliki i blokuje dostęp do tych najcenniejszych. Lista takich zwykle składa się z obrazów, muzyki, filmów i dokumentów zawierających ważne informacje. Po zlokalizowaniu tych plików program do szyfrowania plików zapisze silne algorytmy kryptograficzne w docelowych plikach, aby uniemożliwić użytkownikom ręczne podejście do ich odszyfrowania. Ofiary zainfekowane tą wersją ransomware zobaczą, że ich dane zostały zmienione za pomocą .gaze rozbudowa. Oznacza to zainfekowany plik, taki jak 1.pdf zmieni się w coś takiego 1.pdf.gaze. Następnie programiści Gaze skonfigurowali swojego wirusa, aby utworzyć plik _readme.txt plik zawierający wskazówki dotyczące odszyfrowywania.

Gapo Ransomware lub jak to się często nazywa STOP Ransomware or Djvu Ransomware należy do dużej rodziny wirusów szyfrujących pliki z długą historią i wieloma modyfikacjami. Obecnie jest to jedno z najbardziej rozpowszechnionych ransomware. Nie będziemy zagłębiać się w szczegóły techniczne infekcji, ale wyjaśnimy proste metody i szanse na odszyfrowanie zainfekowanych plików i usunięcie wirusa. Pierwszą rzeczą, którą powinieneś wiedzieć, są przypadki, które można skutecznie wyleczyć, zła wiadomość jest taka, że ​​​​szanse na pomyślny wynik są mniejsze niż 5%. W tym artykule przyjrzymy się dołączonym odmianom .gapo rozszerzeń plików i pojawił się pod koniec maja 2023 roku. Gapo Ransomware używa podobnego schematu ze wszystkimi ofiarami. Pojawia się jako fałszywa aktualizacja systemu Windows ze stron z torrentami, które uruchamiają pliki wykonywalne w celu wyłączenia programów zabezpieczających i rozpoczęcia procesu szyfrowania cennych plików, takich jak dokumenty, filmy, zdjęcia, muzyka. Na koniec umieszcza żądanie okupu (_readme.txt) w każdym folderze z zaszyfrowanymi plikami.

Xaro to nazwa nowego wirusa szyfrującego pliki, opracowanego niedawno przez genealogię ransomware STOP/Djvu. Ten wariant oprogramowania ransomware pojawił się w maju 2023 roku i ma zasadniczo identyczne cechy jak inne wersje wydawane przez tę grupę cyberprzestępców. Jedyne, co czyni go wyjątkowym, to tzw .xaro rozszerzenie, które jest dołączane do docelowych plików podczas szyfrowania. Po zaszyfrowaniu pliki nie będą już dostępne i będą wyglądać mniej więcej tak 1.pdf.xaro bez oryginalnej ikony skrótu. Następnie Xaro Ransomware tworzy notatkę tekstową o nazwie _readme.txt zawierać wskazówki dotyczące deszyfrowania. Ogólnie mówi się, że ofiary muszą zapłacić za unikalny klucz odszyfrowywania (i narzędzie), aby odzyskać dane. Cena za odszyfrowanie wynosi 490 USD w ciągu pierwszych 72 godzin i podobno podwaja się do 980 USD, chyba że ofiary zmieszczą się w określonych ramach czasowych. Aby dokonać tej żądanej zapłaty, ofiary muszą zainicjować komunikację z oszustami (za pośrednictwem poczty elektronicznej) i uzyskać dalsze instrukcje dotyczące zapłacenia okupu.

Jeśli nieoczekiwanie zmieniły się nazwy Twoich plików, .xatz jest dodawany na końcu ich nazwy, a same pliki przestały się otwierać, oznacza to, że Twój komputer jest zainfekowany wirusem szyfrującym pliki o nazwie Xatz Ransomware (STOP Ransomware). Używając silnego hybrydowego systemu szyfrowania i unikalnego klucza, wirus ten szyfruje wszystkie pliki znajdujące się na zainfekowanym komputerze. Każdy zaszyfrowany plik otrzymuje nowe rozszerzenie: .xatz. Ta wersja pojawiła się w połowie maja 2023 roku. Do szyfrowania danych pasożyt wykorzystuje kombinację algorytmów AES i RSA. Nowe wersje pojawiają się niemal co tydzień, choć wszystkie pokazują swoją aktywność według tego samego szablonu. Nawet jeśli usuniesz nowe rozszerzenie lub całkowicie zmienisz nazwę pliku, nie pomoże to w przywróceniu dostępu do jego zawartości. Tylko klucz i deszyfrator, które mają autorzy Xatz Ransomware, mogą odszyfrować pliki. Na szczęście dla ofiar tego wirusa stworzono darmowy deszyfrator, który w niektórych przypadkach może pomóc w odszyfrowaniu zainfekowanych plików. Po zaszyfrowaniu złośliwe oprogramowanie umieszcza specjalny plik tekstowy z instrukcją zapłaty okupu (notatka z żądaniem okupu), tzw _readme.txt w każdym folderze.

Bycie częścią Djvu/STOP rodzina, Xash to nowa infekcja ransomware, której celem jest szyfrowanie danych. Został wydany w połowie maja 2023 roku. Podobnie jak inne złośliwe oprogramowanie tego typu, STOP Ransomware w tej wersji dołącza własne .xash rozszerzenie do zaszyfrowanych plików. W zdecydowanej większości przypadków dane stają się niemożliwe do odszyfrowania przy użyciu konwencjonalnych metod. Tylko 1-2% przypadków można odszyfrować za pomocą wyznaczonego narzędzia deszyfrującego. Jednak dzięki instrukcjom podanym na tej stronie istnieje duża szansa na odzyskanie ważnych plików. Aby to zilustrować, niewinny plik, taki jak 1.mp4 zmieni się na 1.pdf.xash, i podobnie z innymi plikami. Twórcy infekcji ransomware dążą do korzyści finansowych – dlatego udostępniają płatne instrukcje odszyfrowania danych. Informacje te można znaleźć w notatce tekstowej (_readme.txt) utworzone w każdym folderze z zaszyfrowanymi plikami.