Wirusy

Roghe to wirus ransomware atakujący dane osobowe ofiar. Po zainfekowaniu docelowego systemu złośliwe oprogramowanie rozpoczyna szyfrowanie potencjalnie ważnych plików, czyniąc je niedostępnymi do czasu odzyskania klucza deszyfrującego. Podczas procesu szyfrowania Roghe Ransomware przypisuje .enc rozszerzenie do zainfekowanych plików. Na przykład plik taki jak 1.pdf zwróci się do 1.pdf.enc i tak dalej z innymi plikami, których dotyczy problem. Po zaszyfrowaniu wszystkich plików wirus zmienia tapetę pulpitu i wymusza otwarcie wyskakującego okienka zawierającego wskazówki dotyczące odszyfrowywania. Tekst znajdujący się na nowo przypisanych tapetach informuje użytkowników, że zostali zarażeni i zachęca ich do postępowania zgodnie z instrukcjami wyświetlanymi w otwartym oknie pop-up. Ponadto zawiera również kod QR prowadzący do dodatkowych informacji o złośliwym oprogramowaniu. Okno "Roghe Decryptor" mówi, że ofiary mają 15 minut na odzyskanie klucza i wklejenie go w celu odblokowania dostępu do plików - w przeciwnym razie zaszyfrowane pliki zostaną usunięte na zawsze. Mówi również, że w ciągu 20 minut system operacyjny będzie niedostępny, zasadniczo zostanie zablokowany.

Nowa fala STOP Ransomware infekcja trwa nadal Qowd Ransomware, to dołącza .qowd rozszerzenia. STOP Ransomware został po raz pierwszy wykryty w 2018 roku i od tego czasu przekształcił się w jeden z najbardziej rozpowszechnionych rodzajów oprogramowania ransomware. Te rozszerzenia „.qowd” są dodawane do zaszyfrowanych plików pod koniec lutego 2023 r. Ten podstępny wirus wykorzystuje algorytm szyfrowania AES do szyfrowania ważnych informacji użytkowników. Z reguły Qowd Ransomware atakuje zdjęcia, filmy i dokumenty - dane, które ludzie cenią. Twórcy złośliwego oprogramowania wymuszają okup i obiecują w zamian dostarczyć klucz deszyfrujący. Pełne odszyfrowanie utraconych danych jest możliwe w mniejszości przypadków, jeśli użyto klucza szyfrowania offline, w przeciwnym razie skorzystaj z instrukcji na stronie, aby odzyskać zaszyfrowane pliki. Oprogramowanie ransomware tworzy również żądanie okupu (_readme.txt), który informuje ofiarę o ataku i żąda zapłaty w bitcoinach lub innych kryptowalutach w zamian za klucz deszyfrujący.

Iotr Ransomware (czasem nazywany STOP Ransomware or DjVu Ransomware ) to szeroko rozpowszechniony wirus szyfrujący, który po raz pierwszy pojawił się w grudniu 2017 roku. Od tego czasu zaszło wiele zmian technicznych i projektowych, a także zmieniło się kilka generacji złośliwego oprogramowania. Ransomware wykorzystuje algorytm szyfrowania AES-256 (tryb CFB) do szyfrowania plików użytkownika, a po tej ostatniej wersji (pojawionej pod koniec lutego 2023 r.) .iotr rozszerzenia. Po zaszyfrowaniu wirus tworzy plik tekstowy _readme.txt, która nazywa się „notatką okupu”, w której hakerzy ujawniają kwotę okupu, informacje kontaktowe i instrukcje, jak go zapłacić. ZATRZYMAJ Ransomware z rozszerzeniem plików .iotr używa następujących e-maili: support@freshmail.top i datarestorehelp@airmail.cc, podobnie jak dziesiątki jego poprzedników.

Kangaroo to infekcja ransomware wypuszczona przez programistów stojących za wcześniejszymi narzędziami do szyfrowania plików, takimi jak Apocalypse, Fabiansomware i Esmeralda. Chociaż ten program do szyfrowania plików aktywnie krążył w 2021 roku, niektórzy użytkownicy mogą nadal być przez niego penetrowani. Celem złośliwego oprogramowania należącego do tej kategorii jest szyfrowanie potencjalnie ważnych danych i wyłudzanie od ofiar pieniędzy za ich odszyfrowanie. Cechą, która wyróżnia Kangaroo spośród innych typowych infekcji ransomware, jest to, że konfiguruje wartości rejestru w celu wyświetlenia wiadomości z żądaniem okupu przed wejściem na ekran logowania Windows. Zaraz po zalogowaniu do systemu wyświetla również fałszywy ekran z tą samą wiadomością z żądaniem okupu, ale tym razem z dedykowanym polem do wpisania hasła w celu odblokowania. Podczas szyfrowania Kangaroo przypisuje również .crypted_file rozszerzenie i tworzy identyczne wiadomości z żądaniem okupu w formie notatek tekstowych. Takie notatki tekstowe są tworzone dodatkowo do każdego zaszyfrowanego pliku i są nazywane na podstawie nazwy pliku po zaszyfrowaniu (jak tutaj 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (znany jako STOP Ransomware or Djvu Ransomware) to niezwykle niebezpieczny wirus, który szyfruje pliki przy użyciu algorytmu szyfrowania AES-256 i dodaje .ioqa rozszerzenia do plików, których dotyczy problem. Infekcja dotyczy głównie ważnych i cennych plików, takich jak zdjęcia, dokumenty, bazy danych, e-maile, filmy itp. Ioqa Ransomware nie ingeruje w pliki systemowe, aby umożliwić działanie systemu Windows, więc użytkownicy będą mogli zapłacić okup. Jeśli serwer złośliwego oprogramowania jest niedostępny (komputer nie jest podłączony do Internetu, serwer zdalnych hakerów nie działa), narzędzie szyfrujące wykorzystuje zakodowany w nim klucz i identyfikator i przeprowadza szyfrowanie offline. W takim przypadku możliwe będzie odszyfrowanie plików bez płacenia okupu. Tworzy Ioqa Ransomware _readme.txt plik, który zawiera wiadomość z żądaniem okupu i dane kontaktowe, na pulpicie oraz w folderach z zaszyfrowanymi plikami. Z programistami można się kontaktować za pośrednictwem poczty elektronicznej: support@freshmail.top i datarestorehelp@airmail.cc.

Mikel Ransomware to złośliwa infekcja zaprojektowana do szyfrowania danych osobowych i wyłudzania pieniędzy za ich odszyfrowanie. Jest również identyfikowany jako nowy wariant innego narzędzia do szyfrowania plików o nazwie Proxima. Podczas szyfrowania Mikel Ransomware przypisuje .mikel rozszerzenie, aby zaznaczyć zmianę. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.mikel i zresetuj jego oryginalną ikonę. Należy pamiętać, że usunięcie przypisanego rozszerzenia z zaszyfrowanego pliku nie spowoduje przywrócenia do niego dostępu. Szyfrowanie sprawia, że ​​dane są trwale blokowane i do ich odblokowania wymagane są klucze deszyfrujące. Po zakończeniu szyfrowania wirus tworzy plik Mikel_Help.txt notatka tekstowa z instrukcjami dotyczącymi odszyfrowania.

STOP Ransomware to wyrafinowany wirus szyfrujący, który wykorzystuje algorytm Salsa20 do szyfrowania poufnych danych osobowych, takich jak zdjęcia, filmy i dokumenty. Najnowsza wersja (Iowd Ransomware), pojawił się w połowie lutego 2023 r., dodaje .iowd rozszerzenie do plików i czyni je nieczytelnymi. Do tej pory rodzina obejmuje około 600 przedstawicieli, a łączna liczba użytkowników, których dotyczy problem, zbliża się do miliona. Większość ataków ma miejsce w Europie i Ameryce Południowej, Indiach i Azji Południowo-Wschodniej. Zagrożenie dotknęło również Stany Zjednoczone, Australię i Republikę Południowej Afryki. Chociaż wirus Iowd jest mniej znany niż GandCrab, Dharma i inne trojany ransomware, to właśnie w tym roku przypada ponad połowa wykrytych ataków. Co więcej, kolejny uczestnik rankingu, wspomniana Dharma, ustępuje mu tym wskaźnikiem ponad czterokrotnie. Znaczącą rolę w rozpowszechnieniu STOP Ransomware odgrywa jego różnorodność: w okresach największej aktywności eksperci znajdowali trzy lub cztery nowe wersje dziennie, z których każda dotykała kilka tysięcy ofiar.

Crackonosh to nazwa trojana potajemnie dystrybuowanego w złamanych instalatorach oprogramowania. Po udanej instalacji jego celem jest wstrzyknięcie koparki XMRIG i rozpoczęcie wydobywania kryptowaluty Monero dla cyberprzestępców. Na chwilę obecną statystyki pokazują, że ten kopacz pomógł cyberprzestępcom wydobyć Monero o wartości około dwóch milionów dolarów. Kilka słów o tym, jak trojan wykonuje swoją złośliwą pracę: po uruchomieniu instalatora złamanego oprogramowania umieszcza instalator i skrypt w docelowym systemie, który następnie zmienia ustawienia rejestru systemu Windows, aby wyłączyć tryb hibernacji i aktywować Crackonosh w Bezpiecznym Tryb przy następnym uruchomieniu systemu. W ten sposób trojan dezaktywuje Windows Update i Windows Defender, a nawet może odinstalować programy antywirusowe innych firm (np. Avast, Bitdefender, Kaspersky, McAfee i Norton), aby zmniejszyć ryzyko wykrycia i zablokowania. Aby ukryć swoją obecność, usuwa systemowe pliki dziennika, serviceinstaller.msi plików i maintenance.vbs pliki. W rezultacie niektóre zainfekowane systemy mogą wyświetlać komunikaty o błędach wskazujące na problemy z wyżej wymienionymi plikami. Ponadto Crackonosh może również zatrzymać usługi Windows Update i zastąpić ikonę Windows Security fałszywą zieloną ikoną w zasobniku systemowym. Główne symptomy, które powinny zwrócić twoją uwagę i skłonić do podejrzeń, że coś jest nie tak z twoim systemem, to zwykle wolniejsze i opóźnione działanie komputera, zwiększone użycie procesora/procesora graficznego/pamięci RAM, przegrzewanie się, nieoczekiwane awarie i inne powiązane problemy. Tak więc, jeśli którykolwiek z tych symptomów jest obecny, przeczytaj nasz przewodnik poniżej i wyeliminuj potencjalnego trojana wydobywającego kryptowaluty ze swojego komputera.