Wirusy

Jeśli zastanawiasz się, dlaczego nie możesz uzyskać dostępu do swoich danych, może to być spowodowane Oprogramowanie ransomware Mkp, Ransomware Baseus or Ransomware Harmagedon zaatakował twój system. Te narzędzia do szyfrowania plików należą do Grupa ransomware Makop, który spowodował wiele podobnych infekcji, w tym Mammon, Tomas, Oled i inne. Podczas szyfrowania wszystkich cennych danych przechowywanych na komputerze, ta wersja Makop przypisuje ofiarom unikalny identyfikator, adres e-mail cyberprzestępców oraz nowy .mkp, .baseus or .harmagedon rozszerzenia, aby podświetlić zablokowane pliki. Na przykład, 1.pdf, który wcześniej był bezpieczny, zmieni nazwę na coś w rodzaju 1.pdf.[10FG67KL].[icq-is-firefox20@ctemplar.com].mkp, 1.pdf.[7C94BE12].[baseus0906@goat.si].baseus or 1.pdf.[90YMH67R].[harmagedon0707@airmail.cc].harmagedon na koniec szyfrowania. Wkrótce po tym, jak wszystkie pliki zostaną pomyślnie zmienione, wirus idzie dalej i tworzy plik tekstowy (plik readme-warning.txt) z instrukcjami żądającymi okupu.

Pay2Deszyfruj to wirus typu ransomware, który szyfruje dane osobowe i szantażuje ofiary w celu zapłacenia tak zwanego okupu. Okup to zazwyczaj pewna kwota pieniędzy, której cyberprzestępcy żądają od użytkowników za odszyfrowanie plików. Każdy plik zaszyfrowany przez wirusa pojawi się z rozszerzeniem .PAY2DECRYPT rozszerzenie i zestaw losowych znaków. Aby to zilustrować, próbka pierwotnie nazwana 1.pdf zostanie zmieniony na 1.pdf.PAY2DECRYPTRLD0f5fRliZtqKrFctuRgH2 zresetować również jego ikonę. Po tym użytkownicy nie będą już mogli otwierać i przeglądać zaszyfrowanego pliku. Natychmiast po pomyślnym zaszyfrowaniu okup tworzy sto plików tekstowych o identycznej treści - Pay2Decrypt1.txt, Pay2Decrypt2.txt, i tak dalej, aż Pay2Decrypt100.txt.

Sojuszu to nazwa infekcji ransomware. Należy do Oprogramowanie ransomware Makop rodzina, która projektuje wiele różnych programów szyfrujących pliki. Sojusz blokuje dostęp do danych i żąda pieniędzy za ich odszyfrowanie. Badania wykazały, że wyróżnia zaszyfrowane pliki, przypisując losowy ciąg znaków, ustedesfil@safeswiss.com adres e-mail i sojusz rozbudowa. Najnowsze wersje Sojusza używały następujących rozszerzeń: .bec, .nigra, .jak stare cycki, .[Billy Herrington]. Gachimuchi, Oznacza to plik podobny do 1.pdf zostanie zmieniony na 1.pdf.[fd4702551a].[ustedesfil@safeswiss.com].sojusz i stają się niedostępne. Po tym, jak wszystkie docelowe pliki zostaną zaszyfrowane w ten sposób, wirus tworzy plik tekstowy o nazwie -----README_WARNING-----.txt (późniejsze wersje utworzone również: !!!HOW_TO_DECRYPT!!!.txt, koń.txt, README_WARNING_.txt i #HOW_TO_DECRYPT#.txt notatki z żądaniem okupu).

Całkiem niedawno hakerzy odkryli nową lukę w zabezpieczeniach systemu Windows, która ułatwia penetrację systemów złośliwym oprogramowaniem. Exploit jest nieodłącznie powiązany z narzędziem MSDT (Microsoft Support Diagnostic Tool) i umożliwia cyberprzestępcom wykonywanie różnych działań poprzez wdrażanie poleceń za pośrednictwem konsoli PowerShell. Dlatego nazwano go Follina i przypisano mu kod śledzenia CVE-2022-30190. Według niektórych renomowanych ekspertów, którzy badali ten problem, exploit kończy się sukcesem, gdy użytkownicy otworzą złośliwe pliki Worda. Osoby atakujące wykorzystują funkcję zdalnego szablonu programu Word, aby zażądać pliku HTML ze zdalnego serwera WWW. Następnie osoby atakujące uzyskują dostęp do uruchamiania poleceń PowerShell w celu instalowania złośliwego oprogramowania, manipulowania danymi przechowywanymi w systemie, a także wykonywania innych złośliwych działań. Exploit jest również odporny na jakąkolwiek ochronę antywirusową, ignoruje wszystkie protokoły bezpieczeństwa i pozwala infekcjom przekraść się niewykrytym. Microsoft pracuje nad rozwiązaniem exploita i obiecuje jak najszybciej wprowadzić aktualizację poprawki. Dlatego zalecamy ciągłe sprawdzanie systemu pod kątem nowych aktualizacji i instalowanie ich w końcu. Wcześniej możemy przeprowadzić Cię przez oficjalną metodę rozwiązywania problemów sugerowaną przez firmę Microsoft. Metoda polega na wyłączeniu protokołu MSDT URL, co zapobiegnie wykorzystywaniu dalszych zagrożeń do czasu pojawienia się aktualizacji.

Wiadomości spamujące wydarzenia z Kalendarza Google, często mylone z osobnym wirusem, są w rzeczywistości powiązane ze złośliwą/niechcianą aplikacją, która może działać na Twoim urządzeniu z Androidem. Wiele ofiar skarży się, że wiadomości zwykle pojawiają się w całym kalendarzu i próbują nakłonić użytkowników do kliknięcia zwodniczych łączy. Prawdopodobnie po zainstalowaniu niechcianej aplikacji użytkownicy doświadczający w danym momencie spamu przyznawali dostęp do niektórych funkcji, w tym uprawnienia do modyfikowania wydarzeń w Kalendarzu Google. Linki mogą zatem prowadzić do zewnętrznych stron internetowych przeznaczonych do instalowania złośliwego oprogramowania i innych rodzajów infekcji. W rzeczywistości wszelkie informacje, o których twierdzą ("wykryto poważnego wirusa"; "alarm o wirusie"; "wyczyść swoje urządzenie" itp.) są najprawdopodobniej fałszywe i nie mają nic wspólnego z rzeczywistością. Aby rozwiązać ten problem i zapobiec zaśmiecaniu kalendarza takimi wiadomościami typu spam, ważne jest, aby znaleźć i usunąć aplikację powodującą problem oraz zresetować kalendarz w celu wyczyszczenia niechcianych wydarzeń.

Znany także jako R. Ransomware, Rozbeh to infekcja ransomware, która szyfruje dane przechowywane w systemie, aby szantażować ofiary w celu zapłacenia pieniędzy za ich odzyskanie. Podczas szyfrowania wyróżnia zablokowane dane poprzez przypisanie losowych znaków składających się z czterech symboli. Na przykład plik taki jak 1.pdf może zmienić na 1.pdf.1ytu, 1.png do 1.png.7ufr, i tak dalej. W zależności od tego, która wersja Rozbeh Ransomware dokonała ataku na twój system, instrukcje wyjaśniające, w jaki sposób można odzyskać dane, mogą być prezentowane w notatkach tekstowych read_it.txt, readme.txt, a nawet w oddzielnym wyskakującym oknie. Warto również zauważyć, że najnowsza infekcja okupu opracowana przez oszustów Rozbeh to tzw Quax0r. W przeciwieństwie do innych wersji nie zmienia nazwy zaszyfrowanych danych, a także wyświetla wytyczne dotyczące odszyfrowywania w wierszu polecenia. Ogólnie rzecz biorąc, wszystkie wymienione powyżej żądania okupu zawierają identyczne wzorce nakłaniania ofiar do zapłacenia okupu – skontaktuj się z twórcami szkodliwego oprogramowania za pośrednictwem Discord lub, w niektórych przypadkach, e-mailem i wyślij 1 Bitcoin (obecnie około 29,000 XNUMX USD) na kryptograficzny adres cyberprzestępców . Po dokonaniu płatności szantażyści obiecują wysłać deszyfrator plików wraz z niezbędnym kluczem do odblokowania zaszyfrowanych danych. Niestety, w większości przypadków metody szyfrowania stosowane przez cyberprzestępców w celu uniemożliwienia dostępu do plików są złożone, co sprawia, że ​​ręczne odszyfrowanie jest prawie niemożliwe. Możesz spróbować, korzystając z niektórych instrumentów innych firm w naszym samouczku poniżej, jednak nie możemy zagwarantować, że faktycznie będą działać.

ZareuS to nazwa infekcji ransomware, która szyfruje pliki i wyłudza od ofiar kwotę w kryptografii. Podczas szyfrowania wirus zmienia wygląd pliku za pomocą rozszerzenia ZareuS rozbudowa. Innymi słowy, jeśli plik taki jak 1.pdf zostanie dotknięty infekcją, zostanie zmieniony na 1.pdf.ZareuS i zresetuj również jego oryginalną ikonę. Następnie, aby przeprowadzić ofiary przez proces odszyfrowywania, cyberprzestępcy tworzą plik tekstowy o nazwie HELP_DECRYPT_TWOJE_PLIKI.txt do każdego folderu z niedostępnymi już danymi. Mówi, że szyfrowanie nastąpiło przy użyciu silnych algorytmów RSA. W związku z tym ofiary są proszone o zakup specjalnego klucza deszyfrującego, który kosztuje 980 $, a kwota ta musi zostać wysłana na adres kryptograficzny cyberprzestępców. Po wykonaniu tej czynności ofiary muszą powiadomić o zakończonej płatności, pisząc na adres lock-ransom@protonmail.com (adres e-mail podany przez atakujących). Jako dodatkowy środek mający na celu zachęcenie ofiar do zapłacenia okupu, szantażyści proponują odszyfrowanie 1 pliku za darmo. Ofiary mogą to zrobić i otrzymać jeden plik w pełni odblokowany, aby potwierdzić, że deszyfrowanie faktycznie działa. To niefortunne, ale pliki zaszyfrowane przez ZareuS Ransomware są prawie niemożliwe do odszyfrowania bez pomocy cyberprzestępców. Może tak być tylko wtedy, gdy oprogramowanie ransomware jest podsłuchiwane, zawiera wady lub inne wady łagodzące odszyfrowywanie przez stronę trzecią. Lepszą i gwarantowaną metodą odzyskania danych jest odzyskanie ich przy użyciu kopii zapasowych. Jeśli takie są dostępne na jakiejś niezainfekowanej pamięci zewnętrznej, możesz łatwo zastąpić nimi zaszyfrowane pliki.

LokiLok to nazwa infekcji okupu. Po udanej instalacji w docelowym systemie szyfruje ważne pliki i szantażuje ofiary, aby zapłaciły pieniądze za ich odszyfrowanie. Odkryliśmy również, że LokiLok został opracowany na podstawie innego wirusa ransomware o nazwie Chaos. Po zaszyfrowaniu ofiary mogą zobaczyć, jak zmieniają się ich dane .LokiLok rozbudowa. Aby to zilustrować, plik o nazwie 1.pdf większość się zmieni 1.pdf.LokiLok i zresetuj jego oryginalną ikonę. Po tym ofiary nie będą już mogły uzyskać dostępu do swoich danych i powinny szukać instrukcji odszyfrowywania w pliku read_me.txt plik. Wirus zastępuje również domyślne tapety nowym obrazkiem. Cyberprzestępcy chcą, aby ofiary kupiły specjalne narzędzie deszyfrujące. W tym celu ofiary powinny skontaktować się z szantażystami za pomocą załączonego adresu e-mail (tutanota101214@tutanota.com). Przed zakupem niezbędnego oprogramowania proponuje się również wysłanie 2 małych plików - cyberprzestępcy obiecują odszyfrować i odesłać je z powrotem w celu udowodnienia zdolności do odszyfrowania. Ponadto komunikat ostrzega również przed próbą użycia zewnętrznych metod odzyskiwania, ponieważ może to doprowadzić do nieodwracalnego zniszczenia danych. Bez względu na to, jakie gwarancje dają twórcy ransomware, zawsze nie zaleca się im ufać. Wielu oszukuje swoje ofiary i nie wysyła oprogramowania deszyfrującego nawet po wysłaniu im pieniędzy.