Wirusy

Jeśli nieoczekiwanie zmieniły się nazwy Twoich plików, .xatz jest dodawany na końcu ich nazwy, a same pliki przestały się otwierać, oznacza to, że Twój komputer jest zainfekowany wirusem szyfrującym pliki o nazwie Xatz Ransomware (STOP Ransomware). Używając silnego hybrydowego systemu szyfrowania i unikalnego klucza, wirus ten szyfruje wszystkie pliki znajdujące się na zainfekowanym komputerze. Każdy zaszyfrowany plik otrzymuje nowe rozszerzenie: .xatz. Ta wersja pojawiła się w połowie maja 2023 roku. Do szyfrowania danych pasożyt wykorzystuje kombinację algorytmów AES i RSA. Nowe wersje pojawiają się niemal co tydzień, choć wszystkie pokazują swoją aktywność według tego samego szablonu. Nawet jeśli usuniesz nowe rozszerzenie lub całkowicie zmienisz nazwę pliku, nie pomoże to w przywróceniu dostępu do jego zawartości. Tylko klucz i deszyfrator, które mają autorzy Xatz Ransomware, mogą odszyfrować pliki. Na szczęście dla ofiar tego wirusa stworzono darmowy deszyfrator, który w niektórych przypadkach może pomóc w odszyfrowaniu zainfekowanych plików. Po zaszyfrowaniu złośliwe oprogramowanie umieszcza specjalny plik tekstowy z instrukcją zapłaty okupu (notatka z żądaniem okupu), tzw _readme.txt w każdym folderze.

Bycie częścią Djvu/STOP rodzina, Xash to nowa infekcja ransomware, której celem jest szyfrowanie danych. Został wydany w połowie maja 2023 roku. Podobnie jak inne złośliwe oprogramowanie tego typu, STOP Ransomware w tej wersji dołącza własne .xash rozszerzenie do zaszyfrowanych plików. W zdecydowanej większości przypadków dane stają się niemożliwe do odszyfrowania przy użyciu konwencjonalnych metod. Tylko 1-2% przypadków można odszyfrować za pomocą wyznaczonego narzędzia deszyfrującego. Jednak dzięki instrukcjom podanym na tej stronie istnieje duża szansa na odzyskanie ważnych plików. Aby to zilustrować, niewinny plik, taki jak 1.mp4 zmieni się na 1.pdf.xash, i podobnie z innymi plikami. Twórcy infekcji ransomware dążą do korzyści finansowych – dlatego udostępniają płatne instrukcje odszyfrowania danych. Informacje te można znaleźć w notatce tekstowej (_readme.txt) utworzone w każdym folderze z zaszyfrowanymi plikami.

Gatz Ransomware to katastrofalny wirus, który używa algorytmów szyfrowania AES do szyfrowania plików użytkowników. Po zakodowaniu pliki uzyskują następujące rozszerzenia: .gatz. Szkodliwe oprogramowanie ma na celu szyfrowanie danych osobowych, takich jak dokumenty, zdjęcia, filmy, muzyka, e-maile. Głębokie kodowanie sprawia, że ​​te pliki są niedostępne, a dostępne dziś narzędzia deszyfrujące nie mogą pomóc w większości przypadków. Aby uruchamiać się automatycznie przy każdym uruchomieniu systemu operacyjnego, kryptograf tworzy wpis w kluczu rejestru systemu Windows, który definiuje listę programów uruchamianych po włączeniu lub ponownym uruchomieniu komputera. Aby określić, którego klucza użyć do szyfrowania, Gatz Ransomware próbuje nawiązać połączenie sieciowe ze swoim serwerem kontroli. Wirus wysyła informacje o zainfekowanym komputerze do serwera i otrzymuje od niego klucz szyfrujący. Ponadto serwer poleceń może wysłać wirusowi dodatkowe polecenia i moduły, które zostaną wykonane na komputerze ofiary. Jeśli wymiana danych z serwerem kontroli przebiegła pomyślnie, wirus wykorzystuje otrzymany klucz szyfrujący (klucz online). Ten klucz jest unikalny dla każdego zainfekowanego komputera. Jeśli Gatz Ransomware nie był w stanie nawiązać połączenia ze swoim serwerem, do zaszyfrowania plików zostanie użyty stały klucz (klucz offline).

Gash Ransomware to złożony wirus typu szyfrującego, który używa algorytmu AES (Salsa20) do szyfrowania plików użytkownika. Dane, na które ma wpływ to złośliwe oprogramowanie, stają się niedostępne bez specjalnego klucza deszyfrującego. Wirus co tydzień ulega niewielkim modyfikacjom, a najnowsza wersja, która pojawiła się pod koniec listopada, dodaje następujące rozszerzenie: .gash. Gash Ransomware nie ingeruje w pliki systemowe, ale może blokować nawigację do niektórych stron internetowych związanych z bezpieczeństwem za pomocą pliku „hostów” systemu Windows. Gdy użytkownicy próbują pobrać narzędzia chroniące przed złośliwym oprogramowaniem lub deszyfrujące, szkodnik nie pozwoli im na to. Możesz łatwo pobrać polecane programy z naszej strony i przeczytać instrukcje, jak z nich korzystać. Ransomware kopiuje plik _readme.txt, tak zwane „żądanie okupu”, na pulpit oraz do folderów z zaszyfrowanymi plikami.

Qore to kolejny program do szyfrowania plików opracowany i rozpowszechniany przez STOP/Djvu rodzina. Kopiuje wszystkie cechy i możliwości starszych wersji wydanych przez grupę STOP/Djvu. Wirus szyfruje dane przechowywane na komputerze i żąda okupu za unikalne oprogramowanie deszyfrujące, które odszyfruje te dane. Najczęściej złośliwe oprogramowanie, takie jak Qore, atakuje ważne dane, takie jak obrazy, muzykę, filmy i dokumenty zawierające ważne informacje. Po wykryciu takich plików program ransomware wygeneruje unikalne szyfry i zapisze je nad plikami, aby uniemożliwić użytkownikom dostęp do nich. Oprócz tego infekcje ransomware dodają również nowe rozszerzenia, aby wyróżnić zaszyfrowane dane. W przypadku Qore Ransomware użytkownicy zobaczą, że ich dane zostały zmienione za pomocą .qore rozbudowa. Oznacza to zwykły plik, taki jak 1.pdf zmieni swój wygląd na coś takiego 1.pdf.qore. Następnie programiści Qore tworzą notatkę tekstową o nazwie _readme.txt które wyjaśniają instrukcje deszyfrowania. Należy pamiętać, że wszystkie te zmiany zachodzą w mgnieniu oka, więc niemożliwe jest wyśledzenie, która część szyfrowania nastąpiła jako pierwsza. Oto, co możesz zobaczyć napisane w notatce tekstowej z żądaniem okupu.

BlackSuit to wirus typu ransomware, którego celem jest szyfrowanie danych w systemach operacyjnych Windows i Linux. Ofiary tej infekcji nie będą miały dostępu do swoich plików, dopóki okup nie zostanie zapłacony. Aby to zrobić, ofiary są zachęcane do przeczytania instrukcji odszyfrowywania przedstawionych w pliku README.BlackSuit.txt notatka tekstowa. Ponadto wirus podświetla również zablokowane dane, dodając nowe .blacksuit rozszerzenie do nich. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.blacksuit, zresetować pierwotną ikonę i jednocześnie stać się niedostępnym. The README.BlackSuit.txt file twierdzi, że ofiary zostały zaatakowane przez szantażystę, który twierdzi, że zaszyfrował i przesłał kluczowe pliki na chroniony serwer. Mówi się, że dane, takie jak dokumenty finansowe, poufne informacje, pliki osobiste i inne poufne materiały, są obecnie zagrożone wyciekiem do sieci, chyba że ofiary zastosują się do żądań atakujących. Szantażysta twierdzi, że można uniknąć wszelkich negatywnych konsekwencji i przywrócić dostęp do danych za określoną kwotę. Aby skontaktować się z atakującymi, ofiary są zachęcane do skorzystania z podanego łącza przeglądarki TOR i dalszej współpracy z oszustami.

Qopz Ransomware to wirus komputerowy wysokiego ryzyka szyfrujący pliki, należący do znanej rodziny STOP/Djvu. Ten konkretny wirus został wypuszczony w pierwszych dniach maja 2023 roku. Oto niektóre z jego cech charakterystycznych: modyfikuje rozszerzenia plików za pomocą 4-literowego kodu .qopz; szyfruje te pliki silną kombinacją kryptografii AES-256 i RSA-1024; tworzy żądanie okupu _readme.txt, gdzie autorzy żądają 980/490 dolarów okupu za odszyfrowanie. Niestety, pełne odszyfrowanie nie jest możliwe, jeśli wirus używał klucza online (Twój komputer był online podczas całego procesu szyfrowania). Ale nie rozpaczaj, nadal istnieją szanse na częściowe lub nawet całkowite przywrócenie danych z instrukcjami podanymi na tej stronie i pewną dozą szczęścia. Hakerzy oferują odszyfrowanie 1 pliku za darmo i zalecamy, aby nie przegapić tej okazji. Chociaż mówią, że plik nie może zawierać ważnych informacji, wyślij im 1 kluczowy plik, najważniejszy dokument lub pamiątkowe zdjęcie. Jednak to powinna być cała komunikacja z nimi. Nie płać okupu, ponieważ w większości przypadków złoczyńcy po prostu przestają odpowiadać.

GAZPROM to infekcja ransomware opracowana na podstawie innego oprogramowania ransomware o nazwie CONTI. Podobnie jak inne złośliwe oprogramowanie tego typu, GAZPROM celuje w szyfrowanie plików osobistych, a następnie żąda od ofiar zapłaty okupu za ich odszyfrowanie. Wraz z szyfrowaniem wirus tworzy dwa pliki zawierające instrukcje deszyfrowania (GAZPROM_DECRYPT.hta i DECRYPT_GAZPROM.html). Ponadto nazwa zaszyfrowanych danych zostaje zmieniona na .GAZPROM rozszerzenie. W rezultacie ograniczone pliki zaczynają wyglądać w następujący sposób: 1.pdf.GAZPROM, 1.png.GAZPROM, i tak dalej. Aby zwrócić zablokowane dane, ofiary proszone są o skontaktowanie się z cyberprzestępcami za pośrednictwem komunikatora Telegram i zapłacenie za odszyfrowanie danych. Jeśli ofiarom nie uda się nawiązać komunikacji w ciągu pierwszych 24 godzin od zaszyfrowania, cena ma wzrosnąć. Aktorzy stwarzający zagrożenie zapewniają, że są w stanie przywrócić dostęp do zablokowanych danych i mogą dostarczyć wszelkie możliwe dowody, aby to udowodnić.