Wirusy

Nowe wystąpienia STOP Ransomware (DjVu Ransomware ) nadal niszczą pliki użytkowników na całym świecie. STOP/Djvu Ransomware to specyficzny typ ransomware, który jest aktywny od 2017 roku. Jest to rodzaj złośliwego oprogramowania szyfrującego pliki, które szyfruje pliki ofiar i żąda zapłaty w zamian za klucz odszyfrowywania. Ten krypto-wirus wykorzystuje złożony algorytm szyfrowania AES, aby blokować użytkownikom dostęp do ich danych i wyłudzać okup w wysokości 490 USD lub 980 USD. Jedną z nowych odmian rozszerzenia, która pojawiła się w październiku 2022 roku, jest: .cosw. Odpowiednie oprogramowanie ransomware otrzymało nazwę Cosw Ransomware. Wirus dodaje takie przyrostki na końcu zaszyfrowanych plików. Jeśli twoje pliki mają takie zakończenie i są niedostępne, oznacza to, że twój komputer jest zainfekowany STOP Ransomware. Twórcy szkodliwego oprogramowania nieznacznie modyfikują wirusa pod względem technicznym.

Goba Ransomware, który jest właściwie następną generacją STOP Ransomware pojawił się na początku marca 2023. Wirus ten szyfruje najważniejsze pliki użytkowników, takie jak dokumenty, zdjęcia, bazy danych, muzykę za pomocą szyfrowania AES i dodaje .goba rozszerzenia do plików, których dotyczy problem. To ransomware jest prawie identyczne z wieloma wcześniejszymi wersjami tego złośliwego oprogramowania, które opisaliśmy wcześniej, należy do tych samych autorów i używa tych samych adresów e-mail (support@freshmail.top i datarestorehelp@airmail.cc) i te same portfele Bitcoin. Pełne odszyfrowanie jest prawie niemożliwe, jednak częściowe dane można odzyskać, korzystając z instrukcji zawartych w tym artykule. Po zakończeniu wirus tworzy _readme.txt plik z żądaniem okupu na pulpicie oraz w folderach z plikami, których dotyczy problem.

Jeśli twoje pliki zostały nagle zmienione za pomocą .wannasmile rozszerzenie (np. 1.pdf.wannasmile) i teraz widzisz wiadomość z żądaniem okupu w wyskakującym okienku, prawdopodobnie masz do czynienia z WannaSmile Ransomware. Chociaż nie ma na to wystarczającego uzasadnienia, WannaSmile może być nową wersją innego oprogramowania ransomware o identycznej nazwie z 2017 roku (autorstwa irańskich programistów), które przypisało .WSmile rozszerzenie. Ogólnie rzecz biorąc, takie złośliwe oprogramowanie jest zwykle zaprojektowane w celu uniemożliwienia dostępu do danych (poprzez uruchomienie szyfrowania), a następnie wyłudzenia pieniędzy od ofiar w celu ich odszyfrowania.

Opracowany przez Djvu rodzina, Goaq Ransomware to złośliwy program, który przeprowadza rozbudowane szyfrowanie danych osobowych. Wykorzystuje popularne, ale silne algorytmy, aby poważnie zablokować przechowywane pliki. Uniemożliwia to użytkownikom pomyślne ręczne odszyfrowanie. Wiedząc, że użytkownicy nie będą w stanie samodzielnie odzyskać plików, cyberprzestępcy oferują odszyfrowanie danych przy użyciu swoich narzędzi za określoną kwotę pieniędzy. Szczegóły, które są prezentowane w notatce tekstowej o nazwie _readme.txt, który jest tworzony po tym, jak Goaq przypisze nowe rozszerzenia do danych. W szczególności dodaje .goaq rozszerzenie, aby zaszyfrowane pliki wyglądały mniej więcej tak 1.pdf.goaq. Gdy tylko takie zmiany zostaną wprowadzone, użytkownicy nie będą już mogli uzyskać dostępu do swoich danych.

Ten artykuł zawiera informacje na temat Gosw Ransomware wersja STOP Ransomware to dodaje .gosw rozszerzenia do zaszyfrowanych plików i tworzy pliki z żądaniem okupu na pulpicie oraz w folderach z plikami, których dotyczy problem. Niestety, algorytm szyfrowania tego ransomware jest obecnie niezniszczalny, ale istnieją niewielkie szanse na przywrócenie plików, które opisujemy w tym tekście. Gosw Ransomware jest aktywnie dystrybuowany w następujących krajach: USA, Kanada, Hiszpania, Meksyk, Turcja, Egipt, Brazylia, Chile, Ekwador, Wenezuela, Niemcy, Polska, Węgry, Indonezja, Tajlandia. Ta odmiana pojawiła się po raz pierwszy na początku marca 2023 roku i jest prawie identyczna z poprzednimi dziesiątkami odmian. Wirus ransomware nadal używa algorytmu szyfrowania AES i nadal żąda okupu w Bitcoinach za odszyfrowanie.

Alice Ransomware to szkodliwy program przeznaczony do szyfrowania danych osobowych użytkowników i żądania pieniędzy za ich odszyfrowanie. Szyfrując dostęp do plików za pomocą bezpiecznych algorytmów, program do szyfrowania plików przypisuje również rozszerzenie .alice rozszerzenie do zaszyfrowanych danych. Na przykład plik taki jak 1.pdf prawdopodobnie zmieni się na 1.pdf.alice i zresetuj jego oryginalną ikonę. Wiele infekcji ransomware przypisuje swoje niestandardowe rozszerzenie, aby odróżnić zaszyfrowane pliki i sprawić, by użytkownicy zauważyli zmianę. Instrukcje dotyczące zwrotu plików znajdują się w pliku How To Restore Your Files.txt plik tekstowy, który zostanie utworzony po pomyślnym zaszyfrowaniu. Ta notatka tekstowa zawiera wytyczne napisane w języku rosyjskim, co wskazuje, że ten program szyfrujący jest skierowany głównie do użytkowników rosyjskojęzycznych. Warto zauważyć, że Alice była dystrybuowana w dwóch wariantach z nieznacznie różniącym się tekstem żądania okupu.

STOP Ransomware to plaga lat 2017-2023, wytrwały wirus oparty na technologii szyfrowania, Qotr Ransomware to jego najnowsza wersja. Ransomware używa algorytmu szyfrowania AES do kodowania ważnych plików i wymusza okup w bitcoinach za odszyfrowanie. To złośliwe oprogramowanie atakuje głównie kraje zachodnie, ale w innych częściach świata wykryto tysiące infekcji. Qotr Ransomware używa tych samych wzorców, ale dodaje różne rozszerzenia w celu modyfikacji plików. Wersja, którą obserwujemy dzisiaj, dołącza .qotr rozszerzenie. Kryptowirus wpływa na cenne dane użytkownika: zdjęcia, filmy i dokumenty, bierze potencjalnie krytyczne pliki jako zakładników. Jednocześnie zachowuje nienaruszone pliki systemowe Windows. Wszystkie najnowsze wersje używały pliku z żądaniem okupu o nazwie _readme.txt, a ta odmiana nie jest wyjątkiem. Wszystkie próbki należą do tych samych autorów, ponieważ używają tych samych danych kontaktowych: support@freshmail.top i datarestorehelp@airmail.cc.

Qoqa Ransomware (będący częścią dużej rodziny STOP/Djvu Ransomware) to nieznośny wirus, który szyfruje pliki na komputerach za pomocą algorytmu szyfrowania AES, uniemożliwiając ich dostęp i żądając pieniędzy w zamian za tzw. "deszyfrator". Pliki przetwarzane przez najnowszą wersję STOP Ransomware można w szczególności odróżnić po .qoqa rozszerzenia. Analiza wykazała, że ​​instalator kryptograficzny z załadowanym „crackiem” lub adware jest instalowany pod dowolną nazwą w %LocalAppData%\ teczka. Po uruchomieniu ładuje tam cztery pliki wykonywalne: 1.exe, 2.exe, 3.exe i updatewin.exe. Pierwszy z nich jest odpowiedzialny za neutralizację Windows Defender, drugi za blokowanie dostępu do stron bezpieczeństwa informacji. Po uruchomieniu szkodliwego oprogramowania na ekranie pojawia się fałszywa wiadomość informująca o zainstalowaniu aktualizacji dla systemu Windows. W rzeczywistości w tej chwili prawie wszystkie pliki użytkownika na komputerze są zaszyfrowane. W każdym folderze zawierającym zaszyfrowane dokumenty plik tekstowy (_readme.txt), w którym osoby atakujące wyjaśniają działanie wirusa. Oferują im zapłacenie okupu za odszyfrowanie, namawiając ich, aby nie korzystali z programów innych firm, ponieważ może to doprowadzić do usunięcia wszystkich dokumentów.