Wirusy

Nifr Ransomware, będąc częścią STOP Ransomware (DjVu Ransomware ) to rozbudowany wirus szyfrujący, który szyfruje pliki użytkownika i uniemożliwia do nich dostęp. Złośliwe oprogramowanie wykorzystuje niezniszczalny algorytm szyfrowania AES (Salsa20), a odszyfrowanie jest możliwe tylko w 2-3% przypadków. Najpierw generuje unikalny klucz szyfrowania AES-256 dla każdego szyfrowanego pliku, który jest używany do szyfrowania zawartości pliku. Ten proces jest znany jako szyfrowanie symetryczne, ponieważ ten sam klucz jest używany do szyfrowania i deszyfrowania pliku. Po zaszyfrowaniu pliku kluczem AES-256, Nifr Ransomware następnie szyfruje klucz AES-256 kluczem publicznym RSA-1024, który jest zawarty w kodzie ransomware. Ten proces jest znany jako szyfrowanie asymetryczne, ponieważ używa różnych kluczy do szyfrowania i deszyfrowania. Najnowsza wersja STOP Ransomware dodaje następujący przyrostek lub rozszerzenie: .nifr. Odpowiednia odmiana wirusa otrzymała nazwy: Nifr Ransomware. Po zaszyfrowaniu ransomware tworzy _readme.txt plik, który specjaliści nazywają "żądaniem okupu", a poniżej możesz zapoznać się z zawartością tego pliku. Notatka zawiera instrukcje, jak skontaktować się z operatorami ransomware i zapłacić okup, aby otrzymać klucz odszyfrowywania. Ransomware jest zwykle dystrybuowane za pośrednictwem wiadomości Spam, fałszywych aktualizacji oprogramowania i narzędzi do łamania/generowania kluczy oprogramowania. Ważne jest, aby pamiętać, że płacenie okupu nie jest zalecane, ponieważ zachęca przestępców i nie ma gwarancji, że klucz deszyfrujący zostanie dostarczony.

D7k to nazwa niedawno wykrytej infekcji ransomware. Podobnie jak inne infekcje z tej kategorii, jest przeznaczony do szyfrowania danych przechowywanych w systemie i wyłudzania od ofiar pieniędzy za ich odszyfrowanie. Podczas szyfrowania wszystkie docelowe pliki zostaną pobrane .D7k rozszerzenie i zresetuj ich ikony do pustego. W rezultacie użytkownicy nie będą już mogli uzyskać dostępu do swoich plików, nawet po ręcznym usunięciu nowo przypisanego rozszerzenia. Po pomyślnym zakończeniu szyfrowania wirus tworzy plik tekstowy o nazwie note.txt, który zawiera wskazówki dotyczące odszyfrowywania. Notatka zawiera krótki tekst żądający 500 dolarów za odszyfrowanie plików. Kwota ta ma zostać przesłana do portfela bitcoin podłączonego przez cyberprzestępców. Wiadomość nie zawiera żadnych kanałów komunikacji, co sprawia, że ​​proces deszyfrowania jest niejednoznaczny. Płacenie okupu nie jest zalecane, ponieważ wielu cyberprzestępców oszukuje swoje ofiary i nie wysyła w zamian obiecanych środków deszyfrujących. Jednak w tym przypadku wydaje się to jeszcze bardziej ryzykowne ze względu na brak jakichkolwiek kanałów komunikacji umożliwiających kontakt z szantażystami. Mimo to cyberprzestępcy są zwykle jedynymi postaciami, które mogą całkowicie i bezpiecznie odblokować dostęp do danych. W momencie pisania tego artykułu żadne publiczne narzędzia stron trzecich nie były znane z obejścia szyfrów przypisanych przez D7k Ransomware. Odszyfrowanie przy użyciu narzędzi innych firm lub kopii w tle systemu Windows jest możliwe tylko w rzadkich przypadkach, gdy oprogramowanie ransomware jest wadliwe lub przypadkowo uszkodzone podczas działania z jakiegokolwiek powodu. W przeciwnym razie jedynym sposobem na odzyskanie danych jest współpraca z programistami ransomware lub odzyskanie danych z istniejących kopii zapasowych. Kopie zapasowe to kopie danych przechowywane na urządzeniach zewnętrznych, takich jak dyski USB, zewnętrzne dyski twarde lub dyski SSD.

Jycx Ransomware (w innej klasyfikacji STOP Ransomware or Djvu Ransomware) jest szkodliwym złośliwym oprogramowaniem, które blokuje dostęp do plików użytkownika poprzez ich zaszyfrowanie i wymaga wykupu. Został wydany w ostatnich dniach marca 2023 roku i trafił na dziesiątki tysięcy komputerów. Wirus wykorzystuje niezniszczalny algorytm szyfrowania (AES-256 z kluczem RSA-1024) i żąda zapłaty okupu w bitcoinach. Jednak ze względu na pewne błędy programistyczne, istnieją przypadki, w których twoje pliki mogą zostać odszyfrowane. Wersja STOP Ransomware, którą rozważamy dzisiaj, dodaje .jycx rozszerzeń do zaszyfrowanych plików i dlatego otrzymał nazwę Jycx Ransomware. Po zaszyfrowaniu prezentuje plik _readme.txt do ofiary. Ten plik tekstowy zawiera informacje o infekcji, dane kontaktowe i fałszywe stwierdzenia dotyczące gwarancji odszyfrowania. Następujące e-maile są wykorzystywane przez złoczyńców do komunikacji: support@freshmail.top i datarestorehelp@airmail.cc.

Hairysquid jest nowo odkrytą odmianą Mimic ransomware. Po przeniknięciu modyfikuje zasady grupy systemu Windows, dezaktywuje ochronę przez program Windows Defender i wyłącza inne funkcje systemu Windows, aby wykluczyć wszelkie środki odstraszające jego szkodliwą aktywność. Celem tej infekcji jest zaszyfrowanie dostępu do danych przechowywanych w systemie i zażądanie pieniędzy za ich odszyfrowanie. Podczas procesów szyfrowania wirus dołącza plik .Hairysquid rozszerzenie do wszystkich plików, których dotyczy problem. Po zakończeniu plik taki jak 1.pdf zwróci się do 1.pdf.Hairysquid i ostatecznie zmień jego ikonę. Instrukcje, jak odszyfrować zablokowane dane, znajdują się w pliku READ_ME_DECRYPTION_HAIRYSQUID.txt note, która jest tworzona wraz z udanym szyfrowaniem. Ogólnie mówi się, że ofiary zostały zaatakowane przez oprogramowanie ransomware, które zaszyfrowało ich dane. Aby odwrócić szkody i odzyskać pliki, ofiary muszą skontaktować się z oszustami za pośrednictwem jednego z dostarczonych kanałów komunikacji (komunikator TOX, komunikator ICQ, Skype i e-mail) oraz zapłacić za odszyfrowanie w Bitcoinach. Mówi się, że cena za odszyfrowanie jest obliczana na podstawie liczby i potencjalnej wartości zaszyfrowanych danych. Ponadto dozwolone jest również bezpłatne testowanie deszyfrowania poprzez wysłanie cyberprzestępcom 3 zablokowanych plików. Niestety, zwykle niemożliwe jest odszyfrowanie zablokowanych danych bez udziału samych cyberprzestępców.

Jyos Ransomware (znany jako Djvu Ransomware or STOP Ransomware) szyfruje pliki ofiary za pomocą Salsa20 (system szyfrowania strumieniowego) i dołącza jedno z setek możliwych rozszerzeń, w tym najnowsze odkryte .jyos. Ten pojawił się pod koniec marca 2023 roku i zainfekował tysiące komputerów na całym świecie. STOP jest obecnie jednym z najaktywniejszych programów ransomware, ale prawie się o nim nie mówi. Rozpowszechnienie STOP potwierdza również niezwykle aktywny wątek na forum Bleeping Computer, gdzie ofiary szukają pomocy. Faktem jest, że to złośliwe oprogramowanie atakuje głównie fanów pirackich treści, odwiedzających podejrzane strony i jest dystrybuowane w ramach pakietów reklamowych. Istnieje możliwość pomyślnego odszyfrowania, jednak do tej pory badaczom znanych jest ponad dwieście wariantów STOP Ransomware, a taka różnorodność znacznie komplikuje sytuację.

Jypo Ransomware jest następną generacją STOP Ransomware rodzina tych samych autorów. Rodzina ransomware znana jest z szerokiej dystrybucji i częstych aktualizacji o nowe warianty. Podobnie jak inni członkowie rodziny Djvu, Jypo Ransomware służy do szyfrowania plików ofiary i żądania zapłaty okupu w zamian za klucz odszyfrowywania. Żądanie okupu pozostawione przez Jypo Ransomware instruuje ofiarę, aby skontaktowała się z atakującymi za pośrednictwem poczty elektronicznej w celu wynegocjowania zapłaty okupu. Wirus ten atakuje ważne pliki użytkownika, takie jak dokumenty, zdjęcia, bazy danych, muzykę, pocztę. Ransomware koduje je za pomocą szyfrowania AES i dodaje .jypo rozszerzenia do plików, których dotyczy problem. Wszystkie te odmiany używają podobnych algorytmów, które są niezniszczalne, jednak w pewnych warunkach pliki .jypo, zaszyfrowane przez ransomware, można odszyfrować za pomocą STOP Djvu Decryptor (dostarczonego poniżej). Ta wersja STOP Ransomware używa następujących adresów e-mail: support@freshmail.top i datarestorehelp@airmail.cc. Jypo Ransomware tworzy _readme.txt plik z żądaniem okupu.

Jywd jest infekcją ransomware pochodzącą z Djvu/STOP rodzina. Ta rodzina to grupa programistów odpowiedzialnych za infekowanie grupy użytkowników różnymi programami szyfrującymi pliki. Jywd jest nowy, pojawił się pod koniec marca 2023 roku, ale ma cechy bardzo podobne do swoich poprzedników. Jywd Ransomware, podobnie jak inne warianty rodziny STOP/Djvu Ransomware, wykorzystuje kombinację algorytmów szyfrowania AES-256 i RSA-1024 do szyfrowania plików ofiary. AES-256 służy do szyfrowania samych plików, podczas gdy RSA-1024 służy do szyfrowania klucza AES-256. To sprawia, że ​​niezwykle trudno jest odzyskać zaszyfrowane pliki bez klucza deszyfrującego. Wirus szyfruje dane osobowe podczas przypisywania .jywd rozbudowa. Dla zilustrowania plik o nazwie 1.pdf doświadczy zmiany 1.pdf.jywd i zresetuj jego oryginalną ikonę po pomyślnym zaszyfrowaniu. W celu odszyfrowania zablokowanych danych ofiary otrzymują instrukcje, które należy wykonać w żądaniu okupu (_readme.txt).

@BLOCKED to infekcja ransomware, która szyfruje potencjalnie cenne dane i wymaga od ofiar wykonania określonych działań w celu przywrócenia do nich dostępu. Po pomyślnym uruchomieniu szyfrowania wszystkim nazwom plików zostanie przypisane niestandardowe rozszerzenie rozpoczynające się od a losowy ciąg znaków i kończąc na @BLOCKED. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdf.i34ot23@BLOCKED i stają się niedostępne. Po pomyślnym zaszyfrowaniu następuje utworzenie wiadomości tekstowej z żądaniem okupu - również nazwanej losowymi znakami poprzedzającymi rozszerzenie ".txt" (na przykład mesgwuibjpdrdum.txt). Ta notatka zawiera instrukcje, jak odzyskać zaszyfrowane dane.