Wirusy

Pochodzący z Włoch, juliański to program typu ransomware skonfigurowany z silnymi algorytmami kryptograficznymi (AES-256) do uruchamiania bezpiecznego szyfrowania danych. Po zablokowaniu dostępu do plików osobistych, szantażyści próbują nakłonić ofiary do zapłacenia pieniędzy za odszyfrowanie danych. Ofiary mogą wykryć, że ich pliki zostały zaszyfrowane, po prostu patrząc na rozszerzenie - wirus dołącza nowe rozszerzenie ".Giuliano", aby podświetlić zablokowane dane. Oznacza to plik podobny do 1.pdf zmieni się na 1.pdf.Giuliano i zresetuj jego oryginalną ikonę. Informacje na temat odzyskiwania plików można znaleźć w notatce tekstowej o nazwie README.txt. Instrukcje odszyfrowywania zawarte w tym pliku są przedstawione w języku włoskim. Cyberprzestępcy informują ofiary o udanej infekcji i zachęcają je do postępowania zgodnie z wymienionymi instrukcjami. Mówią, że powinieneś odwiedzić stronę GitHub, aby wypełnić niektóre formularze. Następnie twórcy złośliwego oprogramowania prawdopodobnie skontaktują się ze swoimi ofiarami i poproszą o zapłacenie okupu. Zwykle wymagane jest uruchomienie płatności w BTC lub innej kryptowalucie używanej przez programistów. Niestety, szyfry zastosowane przez Giuliano Ransomware są silne i trudno je odszyfrować za pomocą narzędzi innych firm. Na razie najlepszym sposobem na odzyskanie plików, poza współpracą z oszustami, jest użycie kopii zapasowych.

Będąc niebezpiecznym wirusem ransomware, Wieża celuje w szyfrowanie danych i próbuje szantażować użytkowników, aby zapłacili okup. Wirus jest łatwy do odróżnienia od innych wersji, ponieważ przypisuje rozszerzenie .wieża rozszerzenie do wszystkich zablokowanych danych. Oznacza to plik podobny do 1.pdf zmieni się na 1.pdf.rook i zresetuj jego oryginalną ikonę po pomyślnym zaszyfrowaniu. Zaraz po tym Rook Ransomware tworzy notatkę tekstową o nazwie HowToRestoreYourFiles.txt pokazując użytkownikom, jak mogą odzyskać dane. Treść notatki tekstowej mówi, że dostęp do wszystkich danych można przywrócić tylko kontaktując się z oszustami i płacąc okup pieniężny. Komunikacja powinna być nawiązana za pośrednictwem poczty elektronicznej (rook@onionmail.org; bezpieczeństwoRook@onionmail.org) lub link przeglądarki TOR dołączony do notatki. Podczas pisania wiadomości do cyberprzestępców ofiarom proponuje się wysłanie do 3 plików (nie więcej niż 1 MB) i ich odszyfrowanie za darmo. W ten sposób cyberprzestępcy do pewnego stopnia udowadniają swoje umiejętności deszyfrowania oraz swoją wiarygodność. Ponadto, jeśli skontaktujesz się z szantażystami w ciągu podanych 3 dni, cyberprzestępcy zapewnią 50% zniżki na cenę odszyfrowania. Jeśli nie zmieścisz się w tym terminie, programiści Rook zaczną wyciekać twoje pliki do swojej sieci, aby później nadużywać ich na stronach Darknet. Mówią też, że żadne instrumenty innych firm nie pomogą ci odzyskać plików.

Szafka harpunowa to nazwa niedawnej infekcji ransomware zgłoszonej przez użytkowników na forach ze złośliwym oprogramowaniem. Wirus przeprowadza szyfrowanie danych za pomocą algorytmów AES-256 i RSA-1024, dzięki czemu wszystkie zastrzeżone dane są zabezpieczone kryptograficznie. W wyniku tej zmiany konfiguracji użytkownicy nie będą już mogli uzyskać dostępu do własnych danych przechowywanych na zainfekowanych urządzeniach. HarpoonLocker przypisuje .zablokowany rozszerzenie, które jest powszechnie używane przez wiele innych infekcji ransomware. To sprawia, że ​​jest bardziej ogólna i czasami trudna do odróżnienia od innych infekcji, takich jak ta. Tworzy również notatkę tekstową (przywracanie-plików.txt) zawierające instrukcje dotyczące okupu. Deweloperzy twierdzą, że wszystkie dane zostały zaszyfrowane i wyciekły na ich serwery. Jedynym sposobem na przywrócenie tego i bezpieczne odzyskanie plików jest zgoda na zapłacenie okupu. Ofiary są instruowane, aby pobrać komunikator qTOX i tam skontaktować się z szantażystami. Istnieje również opcja wypróbowania odszyfrowania 3 zablokowanych plików za darmo. Jest to gwarancja udzielana przez cyberprzestępców, aby udowodnić, że można im zaufać. Niestety poza qTOX nie ma żadnych innych kontaktów, których ofiary mogłyby użyć do wdania się w dyskusję z cyberprzestępcami. Wielu badaczy cybernetycznych żartowało, że HarpoonLocker powinien również nazywać się Unnamed qTOX Ransomware, ponieważ nie ma nikogo, z kim ofiary mogłyby porozmawiać. Z tego i wielu innych powodów zdecydowanie odradza się spełnianie wymienionych wymagań i płacenie okupu. Dość często cyberprzestępcy oszukują swoje ofiary i nie wysyłają żadnych narzędzi deszyfrujących nawet po otrzymaniu pieniędzy.

Po raz pierwszy znaleziony i zbadany przez niezależnego eksperta o nazwisku S!R!, Nie płacz to program ransomware przeznaczony do uruchamiania szyfrowania danych. Jest to bardzo popularny schemat wykorzystywany przez twórców ransomware do wyłudzania pieniędzy od ofiar po skutecznym ograniczeniu danych. Na razie znane są dwie wersje NoCry różniące się rozszerzeniami przypisanymi do zablokowanych danych. To jest albo .Płakać or .IHA rozszerzenie, które zostanie dołączone do zaszyfrowanych plików. Na przykład, 1.pdf zmieni swój wygląd na 1.pdf.Cry or 1.pdf.IHA i zresetuj jego ikonę skrótu do pustej po zainfekowaniu złośliwym oprogramowaniem. Szantażyści stojący za NoCry Ransomware żądają zapłaty za zwrot danych za pośrednictwem pliku HTML o nazwie Jak odszyfrować moje pliki.html. Wymusza również otwarcie okna pop-up, z którym ofiary mogą wchodzić w interakcje w celu wysłania okupu i odszyfrowania swoich danych. Zawartość obu jest identyczna i informuje ofiary o tym samym. NoCry daje około 72 godzin na wysłanie 100 $ w BTC na załączony adres kryptograficzny. Jeśli żadne pieniądze nie zostaną dostarczone w wyznaczonym terminie, NoCry usunie Twoje pliki na zawsze. Jest to strategia zastraszania, mająca na celu przyspieszenie ofiar i szybsze zapłacenie żądanego okupu.

Okup Teraz to kolejny wirus szyfrujący pliki stworzony przez cyberprzestępców w celu wyłudzenia pieniędzy od zdesperowanych ofiar. Jest bardzo podobny do już omówionego Oprogramowanie ransomware Polaris ponieważ obsługuje ten sam wzór szyfrowania z algorytmami AES i RSA. Innym wspólnym podobieństwem między tymi atakami ransomware jest to, że nie dołączają one żadnego nowego rozszerzenia do zaszyfrowanych danych. Mimo że pliki nie doświadczają żadnych znaczących zmian wizualnych, użytkownicy nadal nie będą mogli ich otworzyć. Wirus tworzy również plik tekstowy o nazwie PLIK DO ODBLOKOWANIA PLIKÓW.txt który zawiera instrukcje odszyfrowywania. Deweloperzy twierdzą, że ofiary mogą przywrócić dane tylko poprzez zakup specjalnego klucza. Cena do zapłacenia wynosi 0.0044 BTC, czyli około 250 $ w momencie pisania tego artykułu. Pamiętaj, że kursy kryptowalut zawsze się zmieniają, więc istnieje szansa, że ​​nawet jutro będziesz musiał zapłacić mniej lub więcej. Po przesłaniu wymaganej kwoty BTC użytkownicy powinni dostarczyć dowód transakcji na załączony adres e-mail (ransomnow@yandex.ru). Oprócz tego oszuści wymieniają kilka zasobów, w których można kupić wymaganą kryptowalutę, jeśli jesteś nowy w świecie kryptowalut. Ostrzega się również przed samodzielnym przeprowadzaniem manipulacji plikami lub przy pomocy narzędzi firm trzecich.

Odkryty przez MalwareHunterTeam, Chwytak Anarchii jest rodzajem wirusa przeznaczonego dla Discord użytkownicy. Ma to na celu zmianę ww indeks.js plik w katalogu Discord (%AppData%\Discord\[version]\modules\discord_desktop_core\) i przejąć twoje dane. Zmieniając wewnętrzny kod oryginalnego pliku, umożliwia cyberprzestępcom przesyłanie złośliwych plików JavaScript. Ten plik powinien zawierać tylko jedną linię: module.exports = require('./core.asar');. Wszystko inne pochodzi od trojana. Aby pozbyć się złośliwego oprogramowania, odinstaluj Discord, a następnie sprawdź %AppData%\Roaming\discord katalogu (jeśli istnieje, usuń go), a następnie ponownie zainstaluj klienta. Jeśli to nie pomoże, przeczytaj cały przewodnik poniżej. Tak więc, gdy użytkownicy logują się na swoje konto Discord, szantażyści uzyskują dostęp do twoich kontaktów, konta, serwerów, wiadomości i innych treści opartych na niezgodzie. Często trudno jest wykryć AnarchyGrabber, ponieważ ukrywa on swoją aktywność za plikami Discord, które są ignorowane przez oprogramowanie anty-malware. Jeśli nie możesz usunąć go ręcznie, pomożemy Ci to zrobić poniżej.

Bezkofeinowa jest sklasyfikowany jako program ransomware przeznaczony do szantażowania ofiar w celu zapłacenia pieniędzy za odzyskanie zablokowanych danych. Jego pierwsze ataki zostały zarejestrowane na początku listopada 2021 r. i nadal mają miejsce na wielu użytkownikach. Wirus wykorzystuje własne rozszerzenie o nazwie bezkofeinowa który jest przypisywany podczas szyfrowania. Przykładem tego, jak wyglądałyby zaszyfrowane pliki po zaszyfrowaniu, jest ten „1.pdf.decaf”. Nie można zamrozić infekcji, ponieważ wszystkie pliki tracą również swoją dostępność i ikony. Po udanej instalacji szyfrów kryptograficznych Decaf tworzy notatkę tekstową o nazwie README.txt zawierający informacje o tym, jak odzyskać dane. Cyberprzestępcy twierdzą, że wszystkie dane serwera i komputera zostały zaszyfrowane za pomocą silnych algorytmów, które uniemożliwiają odszyfrowanie przez osoby trzecie. Jedynym możliwym sposobem na przywrócenie dostępu do całości danych jest użycie specjalnego „uniwersalnego” deszyfratora przechowywanego przez szantażystów. Aby uzyskać dalsze instrukcje dotyczące odszyfrowywania, ofiary powinny napisać na załączony adres e-mail (22eb687475f2c5ca30b@protonmail.com). Stamtąd prawdopodobnie zostaniesz poinformowany o cenie oprogramowania deszyfrującego i sposobach jego uzyskania. Z reguły cyberprzestępcy proszą swoje ofiary o przesłanie różnych kwot pieniędzy w jakiejś kryptowalucie do ich portfeli. Zakres może wahać się od setek do tysięcy dolarów na przywrócenie danych.

Polaris to program ransomware, który wykorzystuje kombinację algorytmów AES i RSA do szyfrowania danych użytkowników. W przeciwieństwie do innych infekcji tego typu, Polaris nie dodaje żadnych rozszerzeń do zaszyfrowanych plików. Jedyne, co się zmienia, to dostępność plików - ofiary nie są już uprawnione do otwierania przechowywanych danych. Aby rozwiązać ten problem, programiści Polaris zachęcają swoje ofiary do przeczytania instrukcji odzyskiwania w pliku o nazwie OSTRZEŻENIE.txt. Notatka tekstowa jest tworzona na końcu szyfrowania i mówi, że należy skontaktować się z szantażystami za pomocą komunikacji e-mail (pol.aris@opentrash.com or pol.aris@tutanota.com). Istnieje również opcja dodania cyberprzestępców na Discordzie. Podczas pisania wiadomości ofiary powinny podać nazwę firmy, która została zaatakowana. Jest to wskazówka, że ​​Polaris atakuje sieci biznesowe, aby mogły sobie pozwolić na zapłacenie wymaganego okupu. Najczęstszą radą, jaką możesz zobaczyć w Internecie dotyczącą płacenia okupu, jest unikanie ich w jak największym stopniu. To prawda, ponieważ wielu cyberprzestępców ma tendencję do oszukiwania swoich ofiar i ostatecznie nie wysyła żadnych narzędzi deszyfrujących.