Wirusy

Foza Ransomware to niszczycielski wirus szyfrujący z serii STOP Ransomware (Djvu Ransomware). Foza Ransomware to odmiana rodziny STOP/Djvu Ransomware, która znana jest z używania kombinacji dwóch algorytmów szyfrowania: RSA i AES. RSA służy do szyfrowania symetrycznego klucza AES, który jest generowany dla każdego pliku. Oznacza to, że każdy plik ma swój własny unikalny klucz AES, który służy do szyfrowania i deszyfrowania zawartości pliku. Para kluczy RSA jest generowana przez oprogramowanie ransomware na komputerze ofiary, a klucz publiczny jest wysyłany do serwera atakującego, który jest następnie używany do szyfrowania symetrycznego klucza AES. Ma swoją nazwę od .foza rozszerzenie, które ransomware dodaje na końcu zaszyfrowanych plików. Z technicznego punktu widzenia wirus pozostaje taki sam jak poprzednie wersje. Jedyne, co zmieniło się w ciągu ostatnich kilku lat, to dane kontaktowe złoczyńców.

Kafan to nowy wirus ransomware, który infekuje użytkowników systemu Windows w celu zaszyfrowania danych osobowych i wyłudzenia od ofiar pieniędzy za ich odszyfrowanie. Po zainstalowaniu ransomware przeprowadzi szybkie skanowanie przechowywanych danych i rozpocznie proces szyfrowania przy użyciu silnych algorytmów kryptograficznych. Ponadto złośliwe oprogramowanie będzie również przypisywać własne .kafan rozszerzenie do rozróżniania zablokowanych plików. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.kafan i stają się niedostępne. Na koniec narzędzie do szyfrowania plików generuje żądanie okupu o nazwie help_you.txt wraz z instrukcją zwrotu danych. Wiadomość z żądaniem okupu wymaga od ofiar wysłania wiadomości e-mail do cyberprzestępców (PYTHONHAVENONAME@163.COM) i zapłacenia za odszyfrowanie. Podczas wysyłania wiadomości ofiary są również proszone o wpisanie swojego identyfikatora w tytule/teście wiadomości. Mówi się, że cena za odszyfrowanie zależy od tego, jak szybko ofiary nawiążą komunikację z atakującymi. Cyberprzestępcy wykorzystują takie techniki manipulacji, aby wywrzeć dodatkową presję na ofiarach i potencjalnie zmusić je do wyrażenia zgody na zapłacenie okupu.

Recov to nowy wariant ransomware z rodziny VoidCrypt. Po infiltracji systemu uruchamia szyfrowanie danych (aby uniemożliwić ofiarom dostęp do plików) i każe ofiarom zapłacić za zestaw oprogramowania deszyfrującego + klucz RSA do odblokowania plików. Instrukcje, jak to zrobić, znajdują się w środku Dectryption-guide.txt list z żądaniem okupu. Kolejną rzeczą, którą robi to ransomware, jest przypisywanie zmian wizualnych do zaszyfrowanych plików - ciągu znaków składającego się z identyfikatora ofiary, adresu e-mail cyberprzestępców oraz .Recov rozszerzenie zostanie dodane do nazw plików. Na przykład plik o oryginalnej nazwie 1.pdf zostanie zmieniony na 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov lub podobnie. Cyberprzestępcy żądają, aby ofiary nawiązały z nimi kontakt poprzez e-mail (Recoverifiles@gmail.com lub Recoverifiles@protonmail.com w przypadku braku odpowiedzi). Chociaż nie jest jasne, czego potrzebują szantażyści, prawdopodobnie będą wymagać od swoich ofiar uiszczenia określonej opłaty za narzędzie deszyfrujące i klucz RSA, które są dostępne tylko dla programistów.

Kadavro Vector to program ransomware skierowany do użytkowników mówiących po angielsku, rosyjsku i norwesku. Celem tego wirusa jest szyfrowanie potencjalnie ważnych danych i wyłudzanie pieniędzy od ofiar za ich odszyfrowanie. Uniemożliwiając dostęp do plików, złośliwe oprogramowanie dodaje również rozszerzenie .vector_ rozszerzenie docelowych plików. Na przykład plik o oryginalnej nazwie 1.pdf doświadczy zmiany 1.pdf.vector_ i zresetuj jego oryginalną ikonę. Wkrótce po pomyślnym zaszyfrowaniu Kadavro Vector otwiera wyskakujące okienko zawierające wskazówki dotyczące deszyfrowania. Ponadto zmieniają się również tapety pulpitu. Żądanie okupu instruuje ofiary, aby nie wyłączały Internetu i komputera, ponieważ w przeciwnym razie może to doprowadzić do uszkodzenia zaszyfrowanych danych. Aby zwrócić dane, ofiary muszą kupić kryptowalutę Monero (XMR) o wartości 250 USD i wysłać ją na adres kryptograficzny cyberprzestępców. Ponadto istnieje również licznik czasu wskazujący, ile czasu użytkownicy muszą zapłacić za odszyfrowanie. Mówi się, że jeśli ofiarom nie uda się tego zrobić w wyznaczonym czasie, wszystkie pliki zostaną usunięte przy użyciu najnowocześniejszych algorytmów, co sprawi, że nie będzie można ich odzyskać w przyszłości. W ten sposób cyberprzestępcy próbują wywrzeć dodatkową presję na ofiary, a tym samym zmusić je do spełnienia wymagań dotyczących odszyfrowania.

Coty Ransomware jest częścią dużej STOP/Djvu Ransomware. Ma swoją nazwę, ponieważ oryginalne wersje złośliwego oprogramowania dodały rozszerzenie .stop (później .djvu) i zaszyfrował je kombinacją kryptografii AES i RSA, aby uniemożliwić dostęp do plików na zainfekowanym komputerze z systemem Windows. Coty Ransomware zgodnie ze swoją nazwą dodaje .coty rozszerzenie. Ta wersja pojawiła się pod koniec kwietnia 2023 roku. Gdy ransomware Coty/STOP zakończy procedurę szyfrowania, wirus tworzy żądanie okupu, aby _readme.txt plik. Wiadomość od oszustów mówi, że ofiary muszą zapłacić okup w ciągu 72 godzin. Twórcy wirusa STOP żądają 490 dolarów w ciągu pierwszych trzech dni i 980 dolarów po tym okresie. Aby potwierdzić, hakerzy zezwalają na wysłanie 1-3 „niezbyt dużych” plików w celu bezpłatnego odszyfrowania support@freshmail.top or datarestorehelp@airmail.cc na test.

Cooper to wirus ransomware, który infekuje systemy w celu zaszyfrowania potencjalnie ważnych plików i żąda pieniędzy za ich odszyfrowanie. Wraz z uruchomieniem bezpiecznego szyfrowania przypisuje również .cooper rozszerzenie do plików, których dotyczy problem. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.cooper i utracić swoją pierwotną ikonę. Po tej zmianie pliki nie będą już nadawać się do użytku, nawet jeśli usuniesz dodane rozszerzenie. Aby odwrócić te zmiany, instrukcje odszyfrowywania są prezentowane w pliku Cooper_Recover.txt plik. Cyberprzestępcy nakłaniają ofiary do skontaktowania się z nimi za pośrednictwem poczty e-mail i zapłacenia za unikalne oprogramowanie deszyfrujące. Aktorzy stanowiący zagrożenie to jedyne osoby, które mają do niego dostęp, i mówi się, że żadne inne narzędzie nie jest w stanie zapewnić odszyfrowania zaszyfrowanych plików .cooper. Podczas kontaktu ofiary są również proszone o podanie identyfikatora w temacie wiadomości e-mail. Niestety, jeśli nie masz dostępnej kopii zapasowej, której można użyć do odzyskania kopii zaszyfrowanych plików, zapłacenie okupu cyberprzestępcom może być jedynym sposobem na odzyskanie plików. Wiele infekcji ransomware wykorzystuje silne algorytmy szyfrowania i generuje klucze online, dzięki czemu odszyfrowanie jest prawie niemożliwe bez pomocy początkowych programistów.

Coza to nowa próbka oprogramowania ransomware opracowana przez cieszącą się złą sławą grupę szantażystów STOP/Djvu. Podobnie jak wiele innych wariantów opublikowanych przez tych cyberprzestępców, ten wykorzystuje niemal identyczny schemat szyfrowania i wymuszania. Po osiedleniu się na zainfekowanej maszynie wirus zaczyna skanować, a tym samym szyfrować potencjalnie ważne fragmenty danych. W ten sposób wirus ma na celu zachęcenie ofiar do zapłacenia za odszyfrowanie zaproponowane przez atakujących. Oprócz szyfrowania, złośliwe oprogramowanie zapewnia również ofiarom możliwość odróżnienia plików zablokowanych od niezablokowanych – po prostu przypisując rozszerzenie .coza rozbudowa. Na przykład plik o wcześniejszej nazwie 1.xlsx zmieni się na 1.xlsx.coza, 1.pdf do 1.pdf.coza i tak dalej z innymi docelowymi typami plików. Mówi się, że aby cofnąć szyfrowanie, ofiary postępują zgodnie z instrukcjami zawartymi w pliku _readme.txt notatka tekstowa.

Pwpdvl to wirus ransomware zaprojektowany do wyłudzania pieniędzy od ofiar poprzez szyfrowanie danych. Innymi słowy, osoby dotknięte tym złośliwym oprogramowaniem nie będą już mogły uzyskiwać dostępu do swoich plików ani ich przeglądać. Kiedy Pwpdvl szyfruje potencjalnie ważne pliki, przypisuje również identyfikator ofiary wraz z .pwpdvl rozszerzenie na koniec. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdf.[ID-9ECFA84E].pwpdvl i odpocznij swoją oryginalną ikonę. Aby zmusić ofiary do zapłacenia pieniędzy za odzyskanie, program szyfrujący pliki tworzy notatkę tekstową z żądaniem okupu (RESTORE_FILES_INFO.txt), który zawiera instrukcje odszyfrowywania. Od ofiar żąda się kontaktu z oszustami (za pośrednictwem Bitmessage lub qTOX) i zapłaty za odszyfrowanie w kryptowalucie Monero (XMR). Przed wysłaniem płatności cyberprzestępcy oferują również przetestowanie bezpłatnego odszyfrowania – ofiary mogą wysłać 2 zaszyfrowane pliki (nieważne i maksymalnie 1 MB) i odblokować je za darmo. Jest to rodzaj gwarancji, którą szantażyści oferują, aby udowodnić swoje umiejętności odszyfrowywania i dać dodatkową pewność zapłacenia okupu. Należy jednak pamiętać, że zaufanie do cyberprzestępców zawsze wiąże się z ryzykiem. Niektórzy użytkownicy dają się oszukać i nie otrzymują obiecanych narzędzi/kluczy do odszyfrowania, niezależnie od spełnienia żądań. Mimo to, niestety tylko twórcy oprogramowania ransomware posiadają klucze deszyfrujące niezbędne do bezpiecznego przywrócenia dostępu do danych. Niezależne odszyfrowanie przy użyciu narzędzi innych firm lub kopii w tle systemu Windows może być możliwe, ale w bardzo rzadkich przypadkach, gdy oprogramowanie ransomware zawiera wady lub nie udało się zaszyfrować danych zgodnie z przeznaczeniem.