Wirusy

Krypta Tytana jest infekcją typu ransomware. Szyfruje dane przechowywane w systemie i żąda od ofiar zapłacenia niewielkiego okupu w wysokości 20 złotych polskich (około 4,5 dolara). Podczas szyfrowania dodaje nowy .titancrypt do każdego zaszyfrowanego pliku, co powoduje, że nie jest on już dostępny. Na przykład plik wcześniej zatytułowany jako 1.png zmieni się na 1.png.titancrypt i utracić swoją pierwotną ikonę. Instrukcje, jak wpłacić żądane pieniądze, znajdują się w środku ___ODZYSKAJ__PLIKI__.titancrypt.txt - plik tekstowy wstrzykiwany do każdego folderu z zaszyfrowanymi danymi, w tym na pulpicie. Wraz z tym wyświetla wyskakujące okienko z informacją, ile plików zostało zaszyfrowanych. W przeciwieństwie do innych infekcji tego typu, rzekomo polski cyberprzestępca stojący za swoim oprogramowaniem Titancrypt Ransomware napisał krótkie i jasne instrukcje dotyczące tego, co ofiary powinny zrobić. Mówi się, aby skontaktować się z nim przez jego discorda (titanware#1405) i wysłać 20 złotych przez PaySafeCard. Chociaż twórca ransomware nie wyjaśnia tego szczegółowo, zapłacenie okupu powinno logicznie doprowadzić do pełnego odszyfrowania danych. Wiele infekcji ransomware (w przeciwieństwie do tej) żąda okupu w wysokości od setek do tysięcy dolarów. W ten sposób użytkownicy, którzy padli ofiarą Titancrypt Ransomware, mieli trochę szczęścia, ponieważ 4,5 dolara to dla wielu niewiele pieniędzy. Możesz zapłacić tę kwotę i uzyskać odszyfrowanie danych, chyba że dostępne są kopie zapasowe. Jeśli masz kopię zapasową zaszyfrowanych plików w pamięci zewnętrznej, możesz zignorować płacenie okupu i odzyskać dane z kopii zapasowych po usunięciu wirusa.

GUCCI to nazwa infekcji ransomware pochodzącej z tzw Phobos rodzina. To, co robi, to szyfrowanie danych przechowywanych w systemie, a także żądanie zapłaty za odszyfrowanie plików. Ofiary będą mogły zrozumieć, że ich pliki są zablokowane dzięki nowemu wyglądowi pliku. Na przykład plik taki jak 1.xlsx do 1.xlsx.id[9ECFA84E-3208].[tox].GUCCI. Znaki wewnątrz nowych nazw plików mogą się różnić w zależności od identyfikatora przypisanego każdej ofierze. GUCCI Ransomware tworzy również dwa pliki tekstowe - info.txt i info.hta oba opisują sposoby przywracania dostępu do danych. Cyberprzestępcy twierdzą, że ofiary mogą odszyfrować swoje dane, negocjując z nimi. Innymi słowy, aby kupić specjalne narzędzie deszyfrujące, które odblokuje dostęp do zastrzeżonych danych. Chociaż cena jest utrzymywana w tajemnicy, ofiary są kierowane do oszustów za pośrednictwem komunikatora TOX. Następnie ofiary otrzymają dalsze instrukcje, co robić i jak kupić narzędzie (w bitcoinach). Oprócz tego programiści oferują ofertę 1 bezpłatnego odszyfrowania pliku. Ofiary mogą bezpłatnie wysłać bezwartościowy zaszyfrowany plik i otrzymać go z powrotem w pełni sprawny. Niestety, pomimo spełnienia żądań zapłaty, niektóre ofiary innych wariantów ransomware zgłosiły, że zostały oszukane i pozostawione bez obiecanego odszyfrowania.

Czarna Basta to nazwa infekcji ransomware skierowanej bardziej do użytkowników korporacyjnych niż zwykłych użytkowników (firm finansowych, firm prywatnych itp.). Dlatego wykorzystuje zaawansowane standardy szyfrowania do szyfrowania danych przechowywanych w sieci, co sprawia, że ​​nie są one już dostępne. Ofiary zainfekowane tym wirusem zobaczą zmianę swoich danych w następujący sposób: 1.pdf do 1.pdf.basta, 1.xlsx do 1.xlsx.basta, i tak dalej z innymi zaszyfrowanymi danymi. Następnie Black Basta tworzy notatkę tekstową o nazwie readme.txt, który zawiera instrukcje dotyczące odzyskiwania danych. Domyślne tapety pulpitu również zostaną zastąpione przez wirusa. Jak wspomniano w notatce, ofiary mogą rozpocząć proces odszyfrowywania, odwiedzając załączony link Tora i logując się na czacie za pomocą identyfikatora swojej firmy. Idąc dalej, cyberprzestępcy przekażą niezbędne informacje i instrukcje, jak rozwinąć proces. Niektóre ofiary zgłaszające infekcję swojego przypadku przez Black Basta Ransomware pokazały, że cyberprzestępcy potrzebują 2 milionów dolarów, aby zapłacić za odszyfrowanie. Należy pamiętać, że suma ta może być zmienna w zależności od wielkości zainfekowanej firmy i wartości zebranych informacji. Oprócz wszystkiego, o czym wspomniano, szantażyści grożą, że jeśli ofiary nie wynegocjują udanej transakcji lub celowo odrzucą ofertę, wszystkie zebrane dane zostaną ostatecznie opublikowane w Internecie. Czasami większym niebezpieczeństwem zarażenia nie jest utrata danych, ale ryzyko utraty reputacji biznesowej.

Selena to destrukcyjna infekcja ransomware atakująca głównie sieci biznesowe. Szyfruje dane przechowywane w sieci i żąda od ofiar zapłaty okupu pieniężnego za ich zwrot. Podczas szyfrowania Selena zmienia wygląd oryginalnych plików – niedostępne już pliki uzyskują unikalnie wygenerowany identyfikator ofiary, adres e-mail cyberprzestępców oraz selena rozbudowa. Aby zilustrować, plik początkowo zatytułowany jako 1.xlsx zmieni się na id[q2TQAj3U].[Selena@onionmail.org].1.xlsx.selena i zresetuj jego ikonę do pustej. Po zakończeniu tego procesu ransomware tworzy plik o nazwie selena.txt, który jest notatką tekstową wyjaśniającą, jak odzyskać pliki. Mówi się, że nie ma innego sposobu na odszyfrowanie zastrzeżonych danych niż bezpośrednie negocjacje z cyberprzestępcami. Aby uzyskać dalsze informacje, ofiary proszone są o napisanie na jeden z następujących adresów e-mail (selena@onionmail.org lub selena@cyberfear.com) i podanie w tytule swojego identyfikatora osobistego. Aby uzyskać niezbędny dekoder i klucze prywatne, które odblokują dostęp do danych, ofiary są zobowiązane zapłacić za nie pieniądze (w bitcoinach). Cena pozostaje nieznana i prawdopodobnie zostanie wyliczona indywidualnie dopiero po kontakcie z oszustami. Ponadto cyberprzestępcy proponują ofiarom wysłanie 2 plików niezawierających żadnych wartościowych informacji (poniżej 5 MB) i uzyskanie odszyfrowania za darmo. Ta oferta działa jako środek gwarancyjny potwierdzający, że faktycznie są w stanie odszyfrować twoje dane. Niestety opcje odszyfrowania plików bez pomocy cyberprzestępców są mniej prawdopodobne.

Pipikaki to niedawna, niszczycielska infekcja ransomware zgłoszona przez ofiary na forach. Złośliwe oprogramowanie tego typu jest również znane jako kryptowirusy, zaprojektowane do szyfrowania danych przechowywanych w systemie i szantażowania ofiar w celu zapłacenia pieniędzy za ich zwrot. Pipikaki robi dokładnie to samo, zmieniając nazwy docelowych plików z identyfikatorem ofiary i .@PIPIKAKI rozszerzenie podczas szyfrowania. Na przykład wcześniej nazwany plik 1.pdf zmieni się na 2.pdf.[8A56562E].@PIPIKAKI lub podobnie w zależności od identyfikatora ofiary. Instrukcje dotyczące zwrotu zastrzeżonych plików są następnie prezentowane w pliku o nazwie MOŻEMY ODZYSKAĆ ​​TWOJE DANE.txt. Żądanie okupu prowadzi użytkowników do skontaktowania się z programistami (przez Skype, ICQ Live chat lub e-mail pipikaki@onionmail.org) i negocjacji w sprawie zwrotu danych. Z reguły wielu cyberprzestępców żąda od swoich ofiar zapłaty określonej kwoty okupu (najczęściej w kryptowalutach). Mówi się też, że nieprzestrzeganie żądań oszustów będzie skutkowało publikacją wszystkich wrażliwych danych. Grożą wyciekiem ważnych informacji biznesowych (danych klientów, rachunków, raportów rocznych itp.), które zostały zebrane z zaszyfrowanej maszyny/sieci.

Osie jest wirusem ransomware. Infekcje tego typu mają na celu uniemożliwienie użytkownikom dostępu do ich danych osobowych. Odbywa się to poprzez tak zwany proces szyfrowania, po którym zwykle następują próby szantażowania ofiar, aby zapłaciły pieniądze za zwrot danych. Po udanym ataku na system Axxes szyfruje docelowe pliki i zmienia ich nazwy przy użyciu rozszerzenia .axxes rozbudowa. Aby to zilustrować, zwykły plik, taki jak 1.png zmieni się na 1.png.axxes i zresetuj również jego ikonę. Nazwy pozostałych danych również zostaną zmienione na podstawie tego samego wzorca. Następnie wirus tworzy dwa pliki zawierające instrukcje deszyfrowania (RESTORE_FILES_INFO.hta i RESTORE_FILES_INFO.txt). Cyberprzestępcy twierdzą, że wszystkie dane biznesowe i pracownicze zostały zarówno zaszyfrowane, jak i przesłane na zewnętrzne serwery. Jeśli ofiary odmówią współpracy z programistami, ci ostatni twierdzą, że mają prawo do publikowania danych ofiar w wyspecjalizowanych zasobach. Aby tego uniknąć, ofiary są zachęcane do otwarcia przeglądarki Tor na załączonym adresie strony internetowej i skontaktowania się z oszustami w celu zapłacenia za odszyfrowanie. Strona z cebulą wyświetla również szereg zakładek, w tym informacje o innych firmach, które zostały już naruszone przez wirusa. To niefortunne, ale na razie nie ma darmowych środków do całkowitego odszyfrowania plików Axxes. Co więcej, cięcie wszystkich końców z cyberprzestępcami z pewnością zmotywuje ich do ujawnienia zebranych danych.

Niedawno odkryte przez badacza złośliwego oprogramowania o nazwie Pietrowicz, Poradzę sobie to infekcja ransomware zdolna do szyfrowania danych przechowywanych w systemie. Badania wykazały, że usuwa również i zastępuje niektóre dane losowymi i bezsensownymi plikami, które pojawiają się wraz z rozszerzeniem .radzić sobie rozbudowa. Z drugiej strony pliki zaszyfrowane przez GonnaCope nie zmieniają swojego wyglądu i pozostają dokładnie takie same, ale nie są już dostępne. Aby odzyskać dostęp do zaszyfrowanych plików, oszuści stojący za wirusem nakłaniają ofiary do wykonania przelewu 100 $ (w Bitcoinach) na krypto-adres załączony w ReadMe.txt Notatka. Ponadto wyświetla również okno cmd z prawie identycznymi informacjami. Po wysłaniu pieniędzy twórcy oprogramowania ransomware obiecują udostępnić swoim ofiarom klucz deszyfrujący w celu zwrócenia danych. To, czy cyberprzestępcom można ufać, czy nie, nigdy nie jest pozbawione niepewności. Ogólnie rzecz biorąc, oszustwa mają złą reputację, ponieważ są w stanie oszukać cię i nie wysłać żadnych obiecanych narzędzi deszyfrujących na końcu. Tak czy inaczej, są to jedyne osoby, które w tej chwili mają możliwość odszyfrowania twoich danych. Ofiary mogą uniknąć płacenia okupu tylko wtedy, gdy na urządzeniach zewnętrznych dostępne są kopie zapasowe. W ten sposób można ich użyć do odzyskania zaszyfrowanych i nieprzydatnych już plików. Jeśli nie jesteś zwolennikiem zapłacenia wymaganego okupu i nie masz kopii zapasowych do użycia, nadal możesz przyłożyć rękę do korzystania z narzędzi innych firm - istnieje szansa, że ​​w pewnych okolicznościach będą one w stanie pomóc.

PARKER to nazwa programu ransomware przeznaczonego do szyfrowania danych użytkowników i wyłudzania pieniędzy od ofiar. Prawdopodobnie jest to produkt cyberprzestępców, którzy opracowali dwa inne niszczycielskie narzędzia do szyfrowania plików ZORN i Matilan. Tak jak oni, PARKER tworzy to samo RESTORE_FILES_INFO.txt notatkę tekstową o tym, jak odzyskać zaszyfrowane dane. Podczas szyfrowania wirus zmienia różne typy potencjalnie ważnych plików w następujący sposób - z 1.pdf do 1.pdf.PARKER i tak dalej z innymi plikami przechowywanymi w systemie. W rezultacie ta zmiana sprawi, że plików nie będzie już można używać bez specjalnego narzędzia deszyfrującego, które należy kupić od cyberprzestępców. Jeśli ofiary nie skontaktują się z cyberprzestępcami za pośrednictwem pisemnych adresów kontaktowych i nie zapłacą wymaganego okupu pieniężnego w ciągu 3 określonych dni, ci ostatni grożą wyciekiem zebranych danych do zasobów publicznych. Wiąże się to z ryzykiem obalenia informacji o prywatnej firmie, które mogą zostać wykorzystane przez konkurencję lub inne nieuczciwe dane. Chociaż zawsze odradza się współpracę z cyberprzestępcami, mogą oni być jedynymi postaciami, które są w stanie zapewnić pełne odszyfrowanie danych i w pewien sposób zagwarantować, że nie opublikują poufnych informacji. Niestety, nie ma narzędzi innych firm, które mogłyby przynajmniej odszyfrować twoje dane za darmo. Najlepszą dostępną opcją jest odzyskanie zaszyfrowanych plików za pomocą kopii zapasowych przechowywanych na niezainfekowanych urządzeniach (np. kartach flash USB, innych komputerach, chmurze itp.).