Wirusy

Qazx Ransomware nazywa się tak, ponieważ .qazx rozszerzenie, dodawane do plików, których dotyczy problem, modyfikujące oryginalne rozszerzenia różnych typów wrażliwych danych. Ta wersja pojawiła się w połowie marca 2023 roku. Technicznie rzecz biorąc, tak jest STOP Ransomware, który używa algorytmów szyfrowania AES do szyfrowania plików użytkownika. Sufiks ten jest jednym z setek różnych rozszerzeń używanych przez to złośliwe oprogramowanie. Czy to oznacza, że ​​straciłeś cenne dane? Niekoniecznie. Istnieją pewne metody, które umożliwiają całkowite lub częściowe odzyskanie plików. Istnieje również bezpłatne narzędzie do odszyfrowywania o nazwie STOP Djvu Decryptor od EmsiSoft, który jest stale aktualizowany i jest w stanie odszyfrować setki rodzajów tego wirusa. Po zakończeniu swojej katastrofalnej działalności tworzy Qazx Ransomware _readme.txt plik (żądanie okupu), w którym informuje użytkowników o fakcie zaszyfrowania, wysokości okupu i warunkach płatności.

Jeśli nie możesz otworzyć plików, a one mają .craa rozszerzenie dodane na końcu nazw plików oznacza, że ​​komputer jest zainfekowany Craa Ransomware, część STOP/Djvu Ransomware rodzina. Szkodnik ten dręczy swoje ofiary od 2017 roku i już stał się najbardziej rozpowszechnionym wirusem typu ransomware w historii. Infekuje tysiące komputerów dziennie przy użyciu różnych metod dystrybucji. Wykorzystuje złożoną kombinację algorytmów szyfrowania symetrycznego lub asymetrycznego, usuwa punkty przywracania systemu Windows, poprzednie wersje plików systemu Windows, kopie w tle i zasadniczo pozostawia tylko 3 możliwości odzyskiwania. Pierwszym z nich jest zapłacenie okupu, jednak nie ma absolutnie żadnej gwarancji, że złoczyńcy odeślą klucz deszyfrujący. Druga możliwość jest bardzo mało prawdopodobna, ale warta wypróbowania – przy użyciu specjalnego narzędzia deszyfrującego firmy Emsisoft, tzw STOP Djvu Decryptor. Działa tylko pod kilkoma warunkami, które opisujemy w następnym akapicie. Trzecim jest używanie programów do odzyskiwania plików, które często działają jako obejście problemów z infekcją ransomware. Przyjrzyjmy się plikowi z żądaniem okupu (_readme.txt), które wirus umieszcza na pulpicie oraz w folderach z zaszyfrowanymi plikami.

Esxi (ESXiArgs) Ransomware to złośliwa infekcja, której celem są organizacje poprzez wykorzystanie luk w zabezpieczeniach VMware ESXi - narzędzie maszyny wirtualnej służące do zarządzania i optymalizacji różnych procesów w organizacjach. Raporty dotyczące bezpieczeństwa wskazują, że cyberprzestępcy wykorzystują znane luki w VMware ESXi, aby uzyskać dostęp do serwerów i wdrożyć ransomware ESXiArgs w atakowanym systemie. Po zakończeniu wirus zacznie szukać zaszyfrowanych plików znajdujących się na maszynie wirtualnej z następującymi rozszerzeniami: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Dla każdego zaszyfrowanego pliku ransomware utworzy również osobny plik z .ESXiArgs or .args rozszerzenie z metadanymi w środku (prawdopodobnie konieczne do przyszłego odszyfrowania).

Będąc następcą Djvu Ransomware, Coba to wirus typu ransomware, którego celem są dane osobowe. Podobnie jak inne złośliwe oprogramowanie tego typu, Coba przeprowadza szyfrowanie danych w celu żądania okupu pieniężnego od ofiar. Dostęp do wszystkich plików zaatakowanych przez firmę Coba (w tym zdjęć, baz danych, dokumentów itp.) zostanie ograniczony, a także zostaną zmienione wizualnie. Na przykład plik podobny do 1.pdf zmieni swój wygląd na 1.pdf.coba na koniec szyfrowania. Twórcy tego wariantu ransomware stosują tzw .сoba rozszerzenie do każdego z plików docelowych przechowywanych w systemie. Następną rzeczą, jaką robi po manipulowaniu rozszerzeniami danych, jest żądanie okupu (_readme.txt), który zawiera instrukcje odszyfrowywania. Gdy użytkownicy go otworzą, zostanie im przedstawiony tekst napisany przez cyberprzestępców. Ten tekst zawiera informacje o tym, jak zwrócić zaszyfrowane dane.

SkullLocker to nowy wariant ransomware. Badania wskazują, że został on opracowany w oparciu o Chaos Ransomware – kolejną niszczycielską i dobrze znaną infekcję. Po udanej infiltracji SkullLocker szyfruje dostęp do plików, dodaje własne .skull rozszerzenie i tworzy żądanie okupu (read_it.txt) z instrukcją deszyfrowania napisaną w języku polskim. Oto pełny tekst zaprezentowany w notatce wraz z tłumaczeniem na język angielski. Ogólnie rzecz biorąc, cyberprzestępcy żądają od użytkowników dokonania płatności w ciągu 72 godzin, w przeciwnym razie dane zostaną trwale utracone. Użytkownicy proszeni są o zapoznanie się ze szczegółami płatności i odzyskiwania poprzez załączony link TOR. Ponadto uwaga odradza próby ręcznego odzyskania plików, ponieważ może to spowodować trwałe uszkodzenie plików.

Coaq Ransomware jest podtypem STOP Ransomware (lub DJVU Ransomware) i ma wszystkie cechy tej rodziny wirusów. Złośliwe oprogramowanie blokuje dostęp do danych na komputerach ofiar, szyfrując je algorytmem szyfrowania AES. STOP Ransomware jest jednym z najdłużej żyjących programów ransomware. Pierwsze infekcje zostały zarejestrowane w grudniu 2017 r. Coaq Ransomware z takim sufiksem to kolejna jego generacja, do której dołącza .coaq rozszerzenia do zaszyfrowanych plików. Po zaszyfrowaniu złośliwe oprogramowanie tworzy plik z żądaniem okupu: _readme.txt na pulpicie oraz w folderach z zaszyfrowanymi plikami. W tym pliku hakerzy podają informacje o odszyfrowaniu oraz dane kontaktowe, takie jak e-maile: support@freshmail.top i datarestorehelp@airmail.cc.

Nowe wystąpienia STOP Ransomware (DjVu Ransomware ) nadal niszczą pliki użytkowników na całym świecie. STOP/Djvu Ransomware to specyficzny typ ransomware, który jest aktywny od 2017 roku. Jest to rodzaj złośliwego oprogramowania szyfrującego pliki, które szyfruje pliki ofiar i żąda zapłaty w zamian za klucz odszyfrowywania. Ten krypto-wirus wykorzystuje złożony algorytm szyfrowania AES, aby blokować użytkownikom dostęp do ich danych i wyłudzać okup w wysokości 490 USD lub 980 USD. Jedną z nowych odmian rozszerzenia, która pojawiła się w październiku 2022 roku, jest: .cosw. Odpowiednie oprogramowanie ransomware otrzymało nazwę Cosw Ransomware. Wirus dodaje takie przyrostki na końcu zaszyfrowanych plików. Jeśli twoje pliki mają takie zakończenie i są niedostępne, oznacza to, że twój komputer jest zainfekowany STOP Ransomware. Twórcy szkodliwego oprogramowania nieznacznie modyfikują wirusa pod względem technicznym.

Goba Ransomware, który jest właściwie następną generacją STOP Ransomware pojawił się na początku marca 2023. Wirus ten szyfruje najważniejsze pliki użytkowników, takie jak dokumenty, zdjęcia, bazy danych, muzykę za pomocą szyfrowania AES i dodaje .goba rozszerzenia do plików, których dotyczy problem. To ransomware jest prawie identyczne z wieloma wcześniejszymi wersjami tego złośliwego oprogramowania, które opisaliśmy wcześniej, należy do tych samych autorów i używa tych samych adresów e-mail (support@freshmail.top i datarestorehelp@airmail.cc) i te same portfele Bitcoin. Pełne odszyfrowanie jest prawie niemożliwe, jednak częściowe dane można odzyskać, korzystając z instrukcji zawartych w tym artykule. Po zakończeniu wirus tworzy _readme.txt plik z żądaniem okupu na pulpicie oraz w folderach z plikami, których dotyczy problem.