Wirusy

RTM Locker Ransomware, znany również jako Read The Manual Locker, okazał się poważnym zagrożeniem w krajobrazie cyberbezpieczeństwa. To złośliwe oprogramowanie stanowi część modelu oprogramowania ransomware jako usługi (RaaS), w ramach którego podmioty stowarzyszone pobierają procent swoich zysków za korzystanie z infrastruktury RTM Locker w celu przeprowadzania ataków. Model ten ułatwił rozprzestrzenianie się RTM Locker, czyniąc go powszechnym zagrożeniem zarówno dla osób prywatnych, jak i organizacji. Po infekcji RTM Locker dodaje unikalne 64-znakowe rozszerzenie do nazw wszystkich zaszyfrowanych plików, czyniąc je niedostępnymi dla użytkowników. To rozszerzenie stanowi kombinację losowych znaków, co znacznie komplikuje identyfikację i odzyskiwanie plików, których dotyczy problem. Metoda szyfrowania stosowana przez RTM Locker polega na połączeniu szyfrowania asymetrycznego i symetrycznego, co sprawia, że ​​odszyfrowanie plików bez klucza prywatnego atakującego jest praktycznie niemożliwe. RTM Locker upuszcza list z żądaniem okupu o nazwie How To Restore Your Files.txt na pulpicie ofiary. Ta notatka informuje ofiary o szyfrowaniu i wymaga kontaktu w ciągu 48 godzin, aby zapobiec publicznemu ujawnieniu zaszyfrowanych danych. Notatka ostrzega przed samodzielnymi próbami odszyfrowania plików, gdyż może to doprowadzić do trwałej utraty danych.

Wirus Apex Legends to zagrożenie cyberbezpieczeństwa, którego celem są fani popularnej gry typu Battle Royale, Apex Legends. Zagrożenie to jest szczególnie podstępne, ponieważ podszywa się pod oszustwa lub ulepszenia gry i wykorzystuje entuzjazm graczy chcących zyskać przewagę w rozgrywce. Jednak zamiast zapewnić jakiekolwiek rzeczywiste korzyści, infekuje komputery użytkowników złośliwym oprogramowaniem, co prowadzi do potencjalnej kradzieży danych i innych złośliwych działań. Usunięcie wirusa Apex Legends wymaga dokładnego podejścia, aby mieć pewność, że wszystkie składniki złośliwego oprogramowania zostaną usunięte z systemu. Korzystanie z renomowanego oprogramowania antywirusowego lub antyszpiegującego w celu przeprowadzenia pełnego skanowania systemu może pomóc w wykryciu i usunięciu RAT oraz wszelkich innych powiązanych komponentów złośliwego oprogramowania. W przypadku użytkowników posiadających wiedzę informatyczną usuwanie ręczne może obejmować identyfikację i usuwanie złośliwych plików i wpisów rejestru, ale takie podejście może być ryzykowne i nie jest zalecane dla niedoświadczonych użytkowników. W niektórych przypadkach przywrócenie komputera do poprzedniego stanu sprzed infekcji może pomóc w usunięciu złośliwego oprogramowania, chociaż ta metoda może nie zawsze być skuteczna, jeśli wirus osadził się głęboko w systemie. W ostateczności całkowita ponowna instalacja systemu operacyjnego usunie wszelkie obecne złośliwe oprogramowanie, ale spowoduje to również usunięcie wszystkich danych z komputera, dlatego należy to rozważyć tylko wtedy, gdy zawiodą wszystkie inne metody usuwania.

JS/Agent Trojan odnosi się do dużej rodziny trojanów napisanych w JavaScript, popularnym języku skryptowym powszechnie używanym do tworzenia dynamicznych stron internetowych. Celem tych złośliwych skryptów jest wykonywanie różnorodnych nieautoryzowanych działań na komputerze ofiary, począwszy od kradzieży danych po pobieranie i uruchamianie innego złośliwego oprogramowania. Ze względu na powszechne wykorzystanie JavaScript w tworzeniu stron internetowych, trojany JS/Agent mogą łatwo mieszać się z legalną treścią internetową, przez co są szczególnie trudne do wykrycia i usunięcia. Trojan JS/Agent to szeroka klasyfikacja rodziny złośliwych plików JavaScript, które stanowią poważne zagrożenie dla systemów komputerowych. Trojany te słyną ze swojej wszechstronności w dostarczaniu ładunków, kradzieży danych i umożliwianiu nieautoryzowanego dostępu do zainfekowanych systemów. Zrozumienie natury trojana JS/Agent, jego mechanizmów infekcji i skutecznych strategii usuwania ma kluczowe znaczenie dla utrzymania cyberbezpieczeństwa. Usunięcie trojana JS/Agent z zainfekowanego systemu wymaga kompleksowego podejścia, ponieważ trojany te mogą pobierać dodatkowe złośliwe oprogramowanie i modyfikować ustawienia systemu, aby uniknąć wykrycia.

Water Ransomware to rodzaj kryptowirusa, złośliwego oprogramowania zaprojektowanego do szyfrowania plików na komputerze ofiary i żądania okupu za ich odszyfrowanie. To należy do Phobos rodzina ransomware. To cyberzagrożenie jest szczególnie podstępne, ponieważ nie tylko ogranicza dostęp do ważnych danych, ale także niesie ryzyko trwałej utraty danych i wymagań finansowych. Po zainfekowaniu komputera Water Ransomware szyfruje pliki użytkownika za pomocą zaawansowanego algorytmu szyfrowania i zmienia nazwy plików, dodając unikalne rozszerzenie. Nowa nazwa pliku zawiera identyfikator ofiary, adres e-mail osoby atakującej oraz rozszerzenie .water rozszerzenie, skutecznie oznaczając pliki jako niedostępne. Na przykład plik 1.txt zostanie zmieniony na 1.txt.id[random-ID].[aquaman@rambler.ua].water. Ransomware generuje żądanie okupu, które zazwyczaj znajduje się w plikach o nazwach info.hta i info.txt. Ta notatka instruuje ofiary, jak skontaktować się z napastnikami w celu zapłacenia okupu. Przestrzega przed próbami samoodszyfrowania lub wykorzystaniem oprogramowania firm trzecich, ostrzegając, że takie działania mogą prowadzić do nieodwracalnej utraty danych. W notatce odradza się także zwracanie się o pomoc do firm pośredniczących, co może prowadzić do wyższych okupów lub oszukańczych programów.

Glorysprout Stealer to rodzaj złośliwego oprogramowania, w szczególności złodzieja, którego celem jest szeroki zakres poufnych informacji, w tym portfele kryptowalut, dane logowania, numery kart kredytowych i inne. Napisany w C++, opiera się na wycofanym już złodzieju Taurus, z podejrzeniami, że kod źródłowy Taurusa został sprzedany, co doprowadziło do rozwoju Glorysprout. Pomimo materiałów promocyjnych sugerujących różnorodne funkcjonalności, analitycy cyberbezpieczeństwa zauważyli pewne rozbieżności pomiędzy reklamowanymi i obserwowanymi możliwościami. Glorysprout jest kompatybilny z systemami operacyjnymi Windows w wersjach od 7 do 11 i obsługuje różne architektury systemów. Jest sprzedawany jako konfigurowalne oprogramowanie z rzekomymi możliwościami wykrywania maszyn wirtualnych, chociaż funkcja ta nie została potwierdzona przez analityków. Po udanej infiltracji Glorysprout zbiera obszerne dane o urządzeniu, w tym szczegóły dotyczące procesora, procesora graficznego, pamięci RAM, rozmiaru ekranu, nazwy urządzenia, nazwy użytkownika, adresu IP i geolokalizacji. Jego celem jest różnorodne oprogramowanie, w tym przeglądarki, portfele kryptowalutowe, uwierzytelniacze, VPN, FTP, oprogramowanie do przesyłania strumieniowego, komunikatory, klienci poczty e-mail i aplikacje związane z grami. Z przeglądarek może wyodrębnić historię przeglądania, zakładki, internetowe pliki cookie, automatyczne wypełnienia, hasła, numery kart kredytowych i inne wrażliwe dane. Dodatkowo może wykonywać zrzuty ekranu. Chociaż reklamuje możliwości przechwytywania (kradzieży plików) i rejestrowania naciśnięć klawiszy (nagrywania naciśnięć klawiszy), tych funkcji nie było w znanych wersjach Glorysprout.

Remcos RAT (Remote Control and Surveillance) to trojan zdalnego dostępu, który jest aktywnie wykorzystywany przez cyberprzestępców od jego pierwszego pojawienia się w 2016 r. Remcos, reklamowany przez jego twórcę, firmę Breaking Security, jako legalne narzędzie do zdalnej administracji, był powszechnie wykorzystywany do złośliwych celów. Umożliwia atakującym uzyskanie dostępu backdoorem do zainfekowanego systemu, umożliwiając im wykonywanie różnych działań bez wiedzy i zgody użytkownika. Remcos RAT to potężne i ukryte złośliwe oprogramowanie, które stwarza znaczne ryzyko dla zainfekowanych systemów. Jego zdolność do unikania wykrycia i utrzymywania trwałości sprawia, że ​​jest to ogromne zagrożenie. Jednakże, postępując zgodnie z najlepszymi praktykami w zakresie zapobiegania i stosując kompleksowe podejście do usuwania, organizacje i osoby fizyczne mogą ograniczyć ryzyko związane z Remcos i chronić swoje systemy przed kompromisami.

Looy Ransomware to złośliwe oprogramowanie należące do rodziny ransomware STOP/DJVU, która słynie z tego, że atakuje zarówno użytkowników indywidualnych, jak i firmy. Jego zadaniem jest szyfrowanie plików na zainfekowanym komputerze, czyniąc je niedostępnymi dla użytkownika, a następnie żąda zapłaty okupu w zamian za klucz deszyfrujący. Po zaszyfrowaniu plików Looy Ransomware dołącza rozszerzenie .looy rozszerzenia nazw plików, co jest wyraźnym wskaźnikiem infekcji. Looy Ransomware wykorzystuje solidny algorytm szyfrowania do blokowania plików. Chociaż w dostarczonych źródłach nie jest szczegółowo określony rodzaj szyfrowania, oprogramowanie ransomware, takie jak Looy, często używa AES (Advanced Encryption Standard) lub podobnej bezpiecznej metody do szyfrowania plików. Po zaszyfrowaniu Looy Ransomware tworzy notatkę z żądaniem okupu o nazwie _readme.txt i umieszcza go na pulpicie lub w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje dla ofiary, jak skontaktować się z atakującymi i zapłacić okup, aby potencjalnie otrzymać klucz odszyfrowujący.

Vook Ransomware to złośliwe oprogramowanie należące do rodziny ransomware STOP/Djvu, znanej z szerokiego wpływu na dane osobowe i organizacyjne. Ten wariant ransomware szyfruje pliki w zainfekowanych systemach, czyniąc je niedostępnymi dla użytkowników i żąda okupu za odszyfrowanie. Gdy Vook Ransomware infekuje komputer, wykorzystuje algorytm szyfrowania Salsa20 do blokowania plików, dołączając .vook rozszerzenie każdego zaszyfrowanego pliku. To sprawia, że ​​pliki są niedostępne i łatwe do zidentyfikowania jako zaszyfrowane przez tę konkretną odmianę oprogramowania ransomware. Po procesie szyfrowania Vook Ransomware generuje notatkę z żądaniem okupu o nazwie _readme.txt i umieszcza go w folderach zawierających zaszyfrowane pliki. Ta notatka zawiera instrukcje dla ofiar dotyczące sposobu kontaktowania się z atakującymi za pośrednictwem poczty elektronicznej oraz kwoty okupu, zwykle wymaganej w kryptowalutach. Notatka może również oferować bezpłatne odszyfrowanie pojedynczego pliku jako „gwarancję”, że osoby atakujące będą mogły odszyfrować pliki po dokonaniu płatności.