Wirusy

Anime to nazwa kryptowirusa. Został zaprojektowany, aby uniemożliwić dostęp do danych przechowywanych w systemie i uniemożliwić ich działanie. Użytkownicy zainfekowani oprogramowaniem ransomware mogą zobaczyć proces szyfrowania, przeglądając pliki objęte ograniczeniami — wszystkie z nich zostają zmienione za pomocą .anime rozbudowa. Na przykład plik taki jak 1.pdf zostanie zmieniony na 1.pdf.anime i zresetuj również jego oryginalną ikonę. Po załatwieniu sprawy z szyfrowaniem wirus żąda okupu, aby dowiedzieć się, jak odzyskać dane. Można je znaleźć w pliku tekstowym o nazwie I_LOVE_ANIME.txt. Jak podano w notatce, ofiary mają 2 dni na skontaktowanie się z cyberprzestępcami pod adresem zdarovachel@gmx.at i zapłacenie za odszyfrowanie plików. Jeśli ofiary nie dotrzymają wyznaczonego terminu, wszystkie zaszyfrowane dane zostaną opublikowane w zasobach ciemnej sieci w celu wykorzystania w przyszłości. Ponadto twórcy oprogramowania ransomware odradzają modyfikowanie plików lub próby ich odszyfrowania bez udziału cyberprzestępców. W chwili pisania tego artykułu nie ma gwarantowanego sposobu na bezpłatne odszyfrowanie danych bez pomocy początkowych programistów.

Kashima (Kashima Ware) to program ransomware - rodzaj złośliwego oprogramowania przeznaczonego do szyfrowania danych i żądania pieniędzy za ich zwrot. W przeciwieństwie do innych infekcji tego rodzaju, wirus atakuje określone i dość nietypowe formaty plików - .config, .cfg, .js, .NOOB, .lua, .lw, .tryme również. Dlatego modyfikuje je za pomocą .KASHIMA rozbudowa. Na przykład plik taki jak 1.js zmieni się na 1.js.KASHIMA, 1.cfg do 1.cfg.KASHIMA i tak dalej z innymi danymi, których to dotyczy. Jak tylko ten proces zostanie zakończony, Kashima wyświetli wyskakujący komunikat (OSTRZEŻENIE!) na całym ekranie.

Znany także jako Lisie Ostrze, Hermetyczna wycieraczka jest niszczycielskim wirusem zaprojektowanym do usuwania danych przechowywanych w systemie i uniemożliwiania reagowania lub całkowitego działania maszyn. Złośliwe oprogramowanie z takimi możliwościami jest zwykle znane jako wycieraczki dysku. HermeticWiper został wykryty podczas ataku na organy rządowe i struktury biznesowe na Ukrainie 24 lutego. Wielu badaczy uważa, że ​​HermeticWiper otrzymał tę nazwę na podstawie cyfrowego certyfikatu skradzionego z firmy o nazwie Hermetica Digital Ltd. Ten certyfikat umożliwia wirusowi przebranie się za legalne oprogramowanie w celu ominięcia wykrywanie systemu Windows. Po udanej infiltracji HermeticWiper uszkadza większość przechowywanych danych i usuwa również kopie w tle systemu Windows. Funkcjonalność ta prowadzi do trwałej utraty danych, przez co ofiary nie mogą ich później odzyskać. Jak wspomniano, HermeticWiper sprawia, że ​​zainfekowane systemy są praktycznie bezużyteczne - robi to poprzez zakłócenie głównego rekordu rozruchowego (MBR), ważnego sektora Windows odpowiedzialnego za prawidłowe uruchomienie systemu. Tak długo, jak HermeticWiper sprawuje kontrolę nad twoim systemem, może robić prawie wszystko, co chce - instalować dodatkowe złośliwe oprogramowanie, przeprowadzać ataki DDoS, rejestrować naciśnięcia klawiszy, nagrywać dźwięk i wideo, nadużywać zasobów systemowych do wydobywania kryptowalut, wdrażać zdalne polecenia i wiele innych destrukcyjnych działań. HermeticWiper nie jest jedynym, ale jednym z nielicznych wirusów dystrybuowanych w ramach tej geopolitycznej kampanii na Ukrainie.

Przepraszam, to po prostu firma to nazwa wirusa ransomware. Podobnie jak inne infekcje tego typu, szyfruje dane osobowe i szantażuje ofiary w celu zapłacenia okupu. Proces szyfrowania można łatwo wykryć, przeglądając pliki, których dotyczy problem. Sorryitsjustbusiness zmienia oryginalne rozszerzenia na losowe znaki i resetuje ikony do pustych. Aby to zilustrować, plik taki jak 1.pdf może zmienić na 1.pdf.ws9y, 1.png do 1.png.kqfb, i tak dalej z innymi losowymi rozszerzeniami i plikami. Po pomyślnym zaszyfrowaniu wirus tworzy notatkę tekstową o nazwie read_it.txt i instaluje nowe tapety pulpitu. Zarówno notatka tekstowa, jak i tapety wyświetlają informacje o tym, jak odzyskać dane. Mówi się, że ofiary muszą kupić ekskluzywny klucz, aby odszyfrować swoje pliki. Koszt tego klucza to aż 150,000 XNUMX $, które należy zapłacić w Bitcoinach na załączony adres kryptograficzny. Po wykonaniu przelewu ofiary powinny poinformować oszustów wysyłając wiadomość na ich adres e-mail (przepraszamitsjustbusiness@protonmail.com). Jeśli ofiary nie zrobią tego w ciągu 24 godzin po zarażeniu, cena za odszyfrowanie zostanie podwojona. Wspomniano również, że zaszyfrowane pliki zostaną usunięte po 48 godzinach bezczynności ofiary. Na podstawie żądanej kwoty okupu możemy założyć, że celem Sorryitsjustbusiness są firmy o dobrym poziomie zarobków. Z reguły nie zaleca się ufania cyberprzestępcom i płacenia żądanego przez nich okupu.

Bycie częścią pył rodzina, SZAFKA ANUBIZ to infekcja ransomware przeznaczona do szyfrowania danych. Czyni to za pomocą bezpiecznych algorytmów szyfrowania i modyfikując nazwy danych, których dotyczy problem, za pomocą rozszerzenia .lomer rozbudowa. Dla zilustrowania plik o nazwie 1.pdf zmieni się na 1.pdf.lomer i zresetuj pierwotną ikonę do pustej. Po pomyślnym ograniczeniu dostępu do danych, wirus szantażuje ofiary w celu zapłacenia okupu. Dokonuje się to poprzez How To Restore Your Files.txt plik tekstowy tworzony na zaatakowanych urządzeniach. Plik mówi, że wszystkie cenne pliki zostały zaszyfrowane i skopiowane na serwery cyberprzestępców, wszystkie kopie zapasowe zostały również usunięte. Ofiary mogą potencjalnie odzyskać swoje dane, kupując specjalne oprogramowanie deszyfrujące oferowane przez osoby atakujące. Zaleca się nawiązanie kontaktu z cyberprzestępcami przy użyciu ich adresu e-mail, aby uzyskać dalsze szczegóły dotyczące odszyfrowywania. Zainfekowani użytkownicy mogą również załączyć jeden plik do swojej wiadomości i bezpłatnie go odszyfrować. Jeśli ofiary zignorują te prośby i będą zwlekać z zapłaceniem okupu, cyberprzestępcy grożą rozpoczęciem wycieku zebranych plików do zasobów ciemnej sieci.

Qmam4 jest infekcją wysokiego ryzyka sklasyfikowaną jako kryptowirus. Powodem, dla którego nosi taką nazwę, jest jego zachowanie po ataku - wirus żąda od ofiar zapłaty określonej sumy pieniędzy w kryptowalucie po zablokowaniu dostępu do danych. Takie infekcje są również znane jako ransomware. Szyfrują dane osobowe i szantażują ofiary w celu zapłacenia okupu. Podczas szyfrowania Qmam4 dołącza ciąg losowych znaków i nowy .qmam4 rozszerzenie do każdego pliku, którego dotyczy problem. Na przykład, 1.pdf zmieni się na 1.pdf.{random sequence}.qmam4 stają się niedostępne. Następnie Qmam4 tworzy plik tekstowy o nazwie C3QW_HOW_TO_DECRYPT.txt który ilustruje, w jaki sposób ofiary mogą odblokować swoje dane. Mówi się, że ofiary mogą odszyfrować i zapobiec sprzedaży ważnych danych w zasobach ciemnej sieci. Aby to zrobić, ofiary są proszone o skontaktowanie się z cyberprzestępcami za pomocą łącza Tor. Po skontaktowaniu się z programistami rzekomo powiedzą ci, abyś wysłał pieniądze w kryptowalucie, a następnie odzyskał specjalne narzędzie deszyfrujące. Jeśli ofiary odmówią wykonania instrukcji, zebrane dane zostaną ujawnione osobom trzecim. Niestety, współpraca z cyberprzestępcami może być jedynym sposobem na odszyfrowanie danych i uniknięcie ich publicznej eksfiltracji. Jest mniej prawdopodobne, że jakieś narzędzie innej firmy będzie w stanie odszyfrować twoje dane za darmo, bez pomocy atakujących.

ALBASA to wirus typu ransomware przeznaczony do szyfrowania danych przechowywanych w systemie i szantażowania ofiar w celu zapłacenia pieniędzy za ich zwrot. Podczas szyfrowania wszystkie pliki otrzymują nowy .ALBASA rozszerzenie i zresetuj ich oryginalne ikony do pustych. Towarzyszy temu również tworzenie RESTORE_FILES_INFO.txt - notatkę tekstową zawierającą instrukcje, jak odzyskać zablokowane dane.

Cantopen to infekcja ransomware, która została odkryta całkiem niedawno. Szyfruje pliki osobiste, dodając rozszerzenie cantopen rozszerzenie i utworzenie HELP_DECRYPT_TWOJE_PLIKI.txt plik tekstowy do szantażowania ofiar w celu zapłacenia okupu. Aby to zilustrować, plik o nazwie 1.pdf zostanie zmieniony na 1.pdf.cantopen i upuść jego oryginalną ikonę skrótu. Taka zmiana zostanie zastosowana do wszystkich danych docelowych, co spowoduje, że nie będą one już dostępne.