Wirusy

Liczba zapytań związanych z nową aktywnością ransomware rośnie każdego dnia wraz z nowymi infekcjami. Tym razem użytkownicy mają do czynienia Tycx Ransomware, który jest nowym i niebezpiecznym kawałkiem opracowanym przez Djvu/STOP rodzina. Ta konkretna wersja zaczęła infekować komputery w drugiej połowie marca 2023 roku. Jej ostatnia aktywność zaszyfrowała wiele danych osobowych za pomocą silnych algorytmów. Mimo że Tycx Ransomware nie został jeszcze całkowicie sprawdzony, niektóre rzeczy są już jasne. Na przykład wirus rekonfiguruje różne typy danych (obrazy, dokumenty, bazy danych itp.), zmieniając oryginalne rozszerzenia na .tycx. Oznacza to, że wszystkie typy danych zachowają swoją początkową nazwę, ale zmienią główne rozszerzenie na coś takiego "1.pdf.tycx". Gdy proces szyfrowania dobiegnie końca, nie będziesz już mieć dostępu do swoich danych. Aby go odzyskać, szantażyści opracowali scenariusz tworzenia identycznych notatek wrzucanych do zaszyfrowanych folderów lub na pulpit. Nazwa notatki to zwykle _readme.txt, który zawiera szczegółowe instrukcje dotyczące odzyskiwania danych.

Tywd Ransomware (najnowsza wersja STOP or Djvu Ransomware) jest niezwykle szkodliwym i jednym z najaktywniejszych wirusów szyfrujących. Ponad połowa zgłoszeń ransomware do ID-Ransomware (usługa identyfikacji ransomware) jest dokonywana przez ofiary STOP Ransomware. Chociaż jest w obiegu od kilku lat, liczba infekcji powodowanych przez Tywd Ransomware wciąż rośnie. Może to brzmieć nieco ironicznie, ale większość ofiar (obecnie) to użytkownicy pirackiego oprogramowania. Wersja wirusa, która jest obecnie rozważana, dodaje .tywd rozszerzenie do plików . Złośliwy program tworzy również plik tekstowy (tzw _readme.txt) w każdym zainfekowanym folderze, co wyjaśnia użytkownikowi, że jego komputer jest zainfekowany i nie będzie mógł uzyskać dostępu do swoich danych, dopóki nie zapłaci okupu w wysokości 980 USD. Jeśli użytkownik zapłaci w ciągu 72 godzin po infekcji, okup zostanie obniżony do 490 dolarów amerykańskich. Przykład tego żądania okupu przedstawiono poniżej.

Darj Ransomware jest powszechnym wirusem szyfrującym i szantażystą, którego celem są cenne pliki osobiste. Należy do STOP/Djvu grupa złośliwego oprogramowania. Po infekcji i zakodowaniu danych hakerzy zaczynają wyłudzać okup. Było ponad 600 wersji oprogramowania ransomware, każda wersja jest nieco modyfikowana w celu obejścia ochrony, ale główne ślady pozostają takie same. Złośliwe oprogramowanie wykorzystuje AES-256 w trybie CFB. Wkrótce po uruchomieniu plik wykonywalny kryptografa z rodziny STOP łączy się z C&C, pobiera klucz szyfrujący i identyfikator infekcji dla komputera ofiary. Dane są przesyłane przez prosty HTTP w postaci JSON. Jeśli C&C jest niedostępne (komputer PC nie jest podłączony do Internetu, sam serwer nie działa), kryptograf używa zakodowanego na stałe klucza i identyfikatora w nim i przeprowadza szyfrowanie offline. W takim przypadku możesz odszyfrować pliki bez płacenia okupu. Odmiany STOP Ransomware można odróżnić od siebie po żądaniach okupu i rozszerzeniach, które dodaje do zaszyfrowanych plików. Obecnie badane rozszerzenie STOP Ransomware to: darj. Plik z żądaniem okupu _readme.txt przedstawiono poniżej w polu tekstowym i na rysunku. W poniższym artykule wyjaśniamy, jak całkowicie usunąć Darj Ransomware i sposoby odszyfrowania lub przywrócenia plików .darj.

Basn to infekcja ransomware, której celem są różne firmy. Po infiltracji szybko skanuje system w poszukiwaniu potencjalnie ważnych plików (np. dokumentów, baz danych, filmów, obrazów itp.) i szyfruje dostęp do nich. Podczas tego procesu wirus przypisuje również swoje własne .basn rozszerzenie, aby podświetlić zablokowane dane. Na przykład plik o oryginalnej nazwie 1.xlsx zmieni się na 1.xlsx.basn i zresetuj jego ikonę do pustej. Po pomyślnym zaszyfrowaniu program szyfrujący pliki upuszcza również plik tekstowy o nazwie unlock your files.txt z instrukcjami odszyfrowywania w środku. W notatce wyjaśniono, że dane ofiary zostały zaszyfrowane i wyodrębnione na serwery cyberprzestępców. Aby odblokować zaszyfrowane dane i zapobiec wyciekowi danych do podejrzanych zasobów/danych, szantażyści żądają od ofiar zapłacenia okupu w kryptowalucie Bitcoin lub Monero. Cena nie została ujawniona w notatce, ponieważ prawdopodobnie będzie się różnić w zależności od ilości i wartości zaszyfrowanych danych. Niestety, o ile wirus nie ma poważnych luk, które można wykorzystać, cyberprzestępcy są zazwyczaj jedynymi postaciami zdolnymi do pełnego i bezpiecznego odszyfrowania dostępu do danych. Na razie żadna strona trzecia nie jest w stanie ominąć szyfrowania zastosowanego przez Basn Ransomware. Jedynymi dostępnymi opcjami odzyskiwania danych jest współpraca z programistami ransomware lub uzyskanie danych z istniejących kopii zapasowych. Kopie zapasowe to kopie danych przechowywane na urządzeniach zewnętrznych, takich jak dyski USB, zewnętrzne dyski twarde lub dyski SSD. Jedynym minusem samoodzyskiwania jest to, że cyberprzestępcy mogą rzeczywiście publikować zebrane dane, a tym samym szkodzić reputacji niektórych firm, jeśli faktycznie zamierzają to zrobić.

Dazx Ransomware jest wersją tzw STOP/Djvu rodzina ransomware. Jest to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda zapłaty okupu w zamian za klucz odszyfrowywania. Kiedy Dazx Ransomware infekuje komputer, szyfruje pliki ofiary przy użyciu silnego algorytmu szyfrowania, czyniąc je niedostępnymi dla ofiary. Złośliwe oprogramowanie wykorzystuje algorytm szyfrowania symetrycznego do szyfrowania plików ofiary. W szczególności używa szyfru strumieniowego Salsa20 do szyfrowania danych. Klucz szyfrowania jest generowany losowo dla każdej ofiary i jest przechowywany na serwerze atakującego. Zaszyfrowane pliki będą miały dodane nowe rozszerzenie do ich nazw plików, takie jak .dazx. Dazx Ransomware tworzy również plik z żądaniem okupu o nazwie _readme.txt w każdym folderze zawierającym zaszyfrowane pliki. Ten plik zawiera instrukcje, jak zapłacić okup, aby otrzymać klucz odszyfrowywania. Żądanie okupu ostrzega również ofiarę przed próbą odszyfrowania plików przy użyciu oprogramowania innych firm, ponieważ może to spowodować trwałą utratę danych.

Code to nazwa nowego wariantu oprogramowania ransomware, które infekuje organizacje w celu szyfrowania danych i wyłudzania pieniędzy w zamian za klucz odszyfrowywania. Podczas szyfrowania dołącza rozszerzenie .code rozszerzenie i tworzy żądanie okupu (tzw !!!HOW_TO_DECRYPT!!!.txt) z instrukcjami, jak odszyfrować zablokowane dane. Oto jak wyglądałby zainfekowany plik po zaszyfrowaniu: 1.pdf.code, 2.png.code, i tak dalej z innymi typami plików, na które atakuje wirus. W notatce cyberprzestępcy próbują nakłonić ofiary do zapłacenia okupu za odszyfrowanie. Mówi się, że ofiary muszą zainstalować komunikator TOX i pisać do szantażystów, korzystając z dostarczonego identyfikatora TOX. O ile ofiary nie spełnią tych żądań i nie odmówią zakupu narzędzia do odszyfrowania, cyberprzestępcy grożą losowym udostępnianiem zaszyfrowanych danych innym stronom lub wyciekiem/sprzedażą ich w ciemnej sieci i innych podejrzanych zasobach.

Dapo Ransomware jest wariantem STOP/Djvu Ransomware, który jest rodzajem złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda zapłaty okupu w zamian za klucz odszyfrowywania w celu przywrócenia plików. Podczas szyfrowania to złośliwe oprogramowanie modyfikuje rozszerzenia plików .dapo. Po zakończeniu procesu szyfrowania ransomware upuszcza żądanie okupu na pulpicie ofiary iw każdym folderze zawierającym zaszyfrowane pliki. Notatka zawiera instrukcje, jak zapłacić okup, aby otrzymać klucz deszyfrujący. Atakujący zwykle żądają zapłaty w kryptowalucie, takiej jak Bitcoin. Ważne jest, aby pamiętać, że nie ma gwarancji, że zapłacenie okupu spowoduje odszyfrowanie plików. W niektórych przypadkach ofiary zapłaciły okup, ale nigdy nie otrzymały klucza deszyfrującego, podczas gdy w innych przypadkach klucz deszyfrujący dostarczony przez atakujących okazał się nieskuteczny. Nazwa pliku z żądaniem okupu używana przez Dapo Ransomware jest zgodna z tą samą konwencją nazewnictwa. Plik ma nazwę _readme.txt. Żądanie okupu zawiera instrukcje, jak zapłacić okup w celu otrzymania klucza deszyfrującego i zwykle zawiera adres e-mail, którego ofiara może użyć do komunikowania się z atakującymi.

Qarj to nowy wariant oprogramowania ransomware opracowany i opublikowany przez szablon notorious STOP/Djvu rodzina. Ten konkretny wariant został wydany w marcu 2023 roku. Będąc wirusem szyfrującym pliki, blokuje dostęp do danych osobowych za pomocą bezpiecznych algorytmów szyfrowania. Oznacza to, że pliki przechowywane na komputerze nie będą już otwierane przez użytkowników, dopóki nie zostaną odszyfrowane. Obecnie istnieją niewielkie szanse na odszyfrowanie plików zaszyfrowanych przez Qarj. Tylko 1-2% przypadków można odszyfrować, jeśli spełnione są określone warunki. Korzystaj ze wszystkich instrukcji na tej stronie, dopóki nie odzyskasz części danych. Aby pokazać, że wszystkie pliki zostały zablokowane, programiści dołączają nowy .qarj rozszerzenie każdego z plików. Na przykład próbka pliku, taka jak 1.pdf zmieni się na 1.pdf.qarj i ostatecznie zresetuj jego ikonę. Po zakończeniu tej części szyfrowania wirus tworzy notatkę tekstową (_readme.txt) z instrukcjami żądającymi okupu.