Wirusy

Notoryczny STOP Ransomware kontynuuje swoją dystrybucję z niewielkimi modyfikacjami. Od końca stycznia 2023 roku pojawiło się nowe rozszerzenie: .assm. Szyfruje pliki ofiar w taki sam sposób, jak setki jego poprzedników. STOP Ransomware infekuje dziesiątki tysięcy komputerów każdą wersją, a nowe wersje pojawiają się kilka razy w tygodniu. Jednocześnie zajmuje się dystrybucją AZORult trojan-stealer, który kradnie poufne informacje. Jest w stanie wykraść różne dane użytkownika: informacje z plików, historię przeglądarki, hasła, pliki cookie, dane uwierzytelniające do bankowości internetowej, portfele kryptowalut i inne. Wirus modyfikuje plik hostów, aby blokować aktualizacje systemu Windows, programy antywirusowe i witryny związane z wiadomościami dotyczącymi bezpieczeństwa, sprzedając oprogramowanie antywirusowe. Ta wersja STOP Ransomware nadal używa następujących adresów e-mail: support@freshmail.top i datarestorehelp@airmail.cc. Assm Ransomware tworzy _readme.txt plik z żądaniem okupu.

Sickfile Ransomware to złośliwa infekcja, która wykorzystuje silne szyfrowanie do przetrzymywania danych ofiar i szantażowania ich w celu zapłacenia pieniędzy za odszyfrowanie. Jeśli twoje pliki uzyskały nowy .sickfile rozszerzenie i utraciły swoje ikony, prawdopodobnie jest to znak wskazujący, że zostały pomyślnie zaszyfrowane. The how_to_back_files.html plik to miejsce, w którym cyberprzestępcy następnie wyjaśniają, jak cofnąć skutki szyfrowania – tj. przywrócić dostęp do danych. Oto pełny tekst przedstawiony w nocie. Ogólnie rzecz biorąc, cyberprzestępcy twierdzą, że odszyfrowanie jest możliwe, jeśli ofiary skontaktują się z oszustami i zapłacą za specjalne oprogramowanie do odszyfrowania. Komunikacja ma być nawiązana poprzez załączony link lub jeden z podanych adresów e-mail. Mówi się, że jeśli ofiary nie skontaktują się z cyberprzestępcami w ciągu 72 godzin, cena za odszyfrowanie będzie wyższa. Ponadto szantażyści grożą wyciekiem zaszyfrowanych danych do zasobów publicznych lub sprzedażą ich osobom trzecim w przypadku, gdy ostatecznie nie zostanie dokonana żadna płatność.

Bitenc to nowy program szyfrujący pliki pochodzący z rodziny ransomware Mallox. Malware tego typu ma na celu szyfrowanie plików ofiar i żądanie zapłaty w zamian za klucz odszyfrowywania. Gdy Bitenc Ransomware zainfekuje system, skanuje system w poszukiwaniu potencjalnie ważnych typów plików (np. dokumentów, obrazów, filmów itp.) i zapisuje bezpieczne szyfry na docelowych danych. Ponadto wirus dołącza również swój zwyczaj .bitenc rozbudowa. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.bitenc i stają się niedostępne. Dodawanie nowych rozszerzeń zwykle ma na celu po prostu zaznaczenie zablokowanych danych i sprawienie, by ofiary zauważyły ​​efekty szyfrowania. Po udanym szyfrowaniu twórcy Bitenc Ransomware przedstawiają swoje żądania okupu w pliku FILE RECOVERY.txt notatkę tekstową, która jest tworzona na pulpicie ofiary.

Buddyransome to wirus ransomware, który działa poprzez szyfrowanie dostępu do danych. Cyberprzestępcy wykorzystują jego możliwości do ograniczania potencjalnie ważnych plików i ofiar szantażu do płacenia pieniędzy za pełne odszyfrowanie. Ofiary mogą zobaczyć złośliwą zmianę, gdy docelowe pliki zostaną zmienione za pomocą nowego .buddyransome rozszerzenie — na przykład plik taki jak 1.pdf zmieni się na 1.pdf.buddyransome i zresetuj jego oryginalną ikonę po pomyślnym zaszyfrowaniu. Następnie notatka tekstowa zawierająca instrukcje odszyfrowywania (HOW_TO_RECOVERY_FILES.txt) zostanie stworzony. Ofiarom mówi się, że wszystkie istotne dane zostały zaszyfrowane i istnieje ryzyko, że zostaną opublikowane w zasobach internetowych. Aby temu zapobiec i odszyfrować zablokowane dane, cyberprzestępcy polecają napisać wiadomość e-mail na adres buddyransome@aol.com i dołączyć swój osobisty identyfikator, kopiując i wklejając go z wygenerowanej notatki. Następnie cyberprzestępcy powinni odpowiedzieć ceną za odszyfrowanie/nieujawnienie danych oraz dostarczyć instrukcje dotyczące sposobu wykonania płatności.

DeathOfShadow to wirus ransomware, który szyfruje dostęp do plików przechowywanych w systemie (przy użyciu algorytmów AES+RSA) i żąda od ofiar zapłaty pieniędzy za odszyfrowanie. Podczas szyfrowania przypisuje również własne .Death_Of_Shadow rozszerzenie, aby podświetlić zablokowane dane. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.Death_Of_Shadow i stać się niedostępnym. Po tym, jak wszystkie docelowe pliki zostaną ograniczone, wirus tworzy notatkę tekstową o nazwie (Malakot@protonmail.com).txt or (malakot@tutanota.com).txt w zależności od wersji ransomware, która zaatakowała system. Notatka tekstowa to miejsce, w którym cyberprzestępcy przedstawiają instrukcje odszyfrowywania dla swoich ofiar. Ogólnie mówi się, że ofiary muszą kontaktować się z szantażystami za pośrednictwem swojego adresu e-mail. Następnie ofiary rzekomo otrzymają dalsze wskazówki, jak zapłacić pieniądze i zwrócić pliki. Z reguły większość cyberprzestępców żąda zapłacenia okupu w kryptowalutach, ponieważ jest to niewykrywalny i bezpieczny sposób uzyskiwania nieuczciwych zarobków. Ponadto cyberprzestępcy oferują przetestowanie swoich możliwości odszyfrowywania, sugerując, że ofiary mogą wysłać plik (bezwartościowy i do 10 MB) i uzyskać jego odszyfrowanie za darmo. Treść żądania okupu ostrzega również, że jeśli ofiary nie nawiążą kontaktu z cyberprzestępcami w ciągu 48 godzin, odszyfrowanie plików nie będzie już możliwe.

Jeśli twoje pliki stały się niedostępne, dostały dziwne ikony i dostały .mztu rozszerzenie, oznacza to, że twój komputer został trafiony przez Mztu Ransomware (znany również jako STOP Ransomware or Djvu Ransomware). Jest to niezwykle niebezpieczny i szkodliwy wirus szyfrujący, który szyfruje dane na komputerach ofiar i wymusza równowartość okupu w wysokości 490$/960$ w kryptowalucie do zapłacenia na anonimowym portfelu elektronicznym. Jeśli nie miałeś kopii zapasowych przed infekcją, istnieje tylko kilka sposobów na przywrócenie plików z niskim prawdopodobieństwem powodzenia. Jednak warto je wypróbować, a wszystkie opisujemy w poniższym artykule. W polu tekstowym poniżej możesz zapoznać się z treścią _readme.txt plik, który wśród specjalistów ds. bezpieczeństwa nazywany jest „żądaniem okupu” i służy jako jeden z symptomów infekcji. Z tego pliku użytkownicy uzyskują informacje o technologii stojącej za odszyfrowaniem, cenie odszyfrowania oraz dane kontaktowe autorów tego złośliwego oprogramowania.

Mzqw Ransomware (skróty: Djvu Ransomware, STOP Ransomware) jest niezwykle niebezpiecznym wirusem szyfrującym pliki, który wyłudza pieniądze w zamian za deszyfrator. Ransomware wykorzystuje silny algorytm szyfrowania AES-256 i sprawia, że ​​pliki stają się bezużyteczne bez głównego klucza odszyfrowywania. Określone złośliwe oprogramowanie w tej recenzji pojawiło się pod koniec stycznia 2023 r. i dołącza .mzqw rozszerzenia do plików. W efekcie plik example.jpg konwertuje do example.jpg.mzqw. Mzqw Ransomware tworzy specjalny plik tekstowy, który nazywa się _readme.txt, gdzie hakerzy podają dane kontaktowe, ogólne informacje o szyfrowaniu i opcje odszyfrowywania. Zagrożenie umieszcza go na pulpicie oraz w folderach z zaszyfrowanymi plikami. Z cyberprzestępcami można się kontaktować za pośrednictwem poczty elektronicznej: support@freshmail.top i datarestorehelp@airmail.cc.

SecureAgent to wirus ransomware, który szyfruje dane przechowywane w systemie i szantażuje ofiary, aby zapłaciły pieniądze za ich odszyfrowanie. Wraz z szyfrowaniem dostępu do danych, ransomware przypisuje również .secured rozszerzenie, aby podświetlić zablokowane pliki. Na przykład plik o oryginalnej nazwie 1.pdf zmieni się na 1.pdf.secured i zresetuj również jego ikonę. Po zakończeniu szyfrowania wirus zmienia tapetę pulpitu i wyświetla wyskakujące okienko zawierające wskazówki dotyczące deszyfrowania. Ogólnie rzecz biorąc, okno zawiera timer ostatecznego terminu przesłania 120 USD (w bitcoinach) na adres kryptograficzny cyberprzestępców. Po upływie określonego czasu klucz odszyfrowywania do odblokowania danych zostanie rzekomo usunięty, przez co pliki staną się trwale niedostępne. Deweloperzy stojący za SecureAgent nie podają żadnych danych kontaktowych, przez co nie jest jasne, w jaki sposób wyślą klucz deszyfrujący po dokonaniu płatności.