Wirusy

RansomHub Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii wirusów szyfrujących pliki. Jego celem jest infiltrowanie systemów komputerowych, szyfrowanie plików i żądanie okupu za klucz deszyfrujący. W przeciwieństwie do tradycyjnego oprogramowania ransomware, które szyfruje pliki i żąda płatności, RansomHouse powiązany z RansomHub koncentruje się na włamywaniu się do sieci za pomocą luk w zabezpieczeniach w celu kradzieży danych i zmuszania ofiar do płacenia bez konieczności korzystania z szyfrowania. RansomHub może dodawać różne rozszerzenia do zaszyfrowanych plików, takie jak .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky lub rozszerzenie o długości 6-7 składające się z losowych znaków. Konkretne algorytmy szyfrowania używane przez RansomHub nie są szczegółowe, ale oprogramowanie ransomware zazwyczaj wykorzystuje silne metody szyfrowania, takie jak AES lub RSA, aby zapobiec nieautoryzowanemu odszyfrowaniu. RansomHub tworzy notatki z żądaniem okupu zawierające instrukcje dla ofiar, jak zapłacić okup i potencjalnie odzyskać swoje pliki. Typowe nazwy plików z żądaniem okupu obejmują README_{random-string}.txti różne inne. Lokalizacja żądania okupu zazwyczaj znajduje się w katalogach zaszyfrowanych plików.

BlackLegion Ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do szyfrowania plików na komputerze ofiary, czyniąc je niedostępnymi, a następnie żądając okupu za klucz odszyfrowujący. Po zainstalowaniu na komputerze BlackLegion szyfruje pliki i dodaje do nazw plików unikalne rozszerzenie. Wszelkie pliki zaszyfrowane za pomocą oprogramowania BlackLegion Ransomware będą miały losowe 8 znaków, po których następuje adres e-mail ofiary i adres .BlackLegion rozszerzenie. Na przykład plik o nazwie photo.jpg może zostać zmieniona nazwa na photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion po szyfrowaniu. BlackLegion tworzy żądanie okupu w formie pliku tekstowego, zwykle o nazwie DecryptNote.txt lub jego wariant. Ta notatka zawiera instrukcje dotyczące zapłacenia okupu, zwykle w kryptowalucie, i może oferować bezpłatne odszyfrowanie pojedynczego pliku jako dowód, że atakujący mogą przywrócić pliki ofiary.

WantToCry Ransomware to rodzaj wirusa szyfrującego, który stanowi podzbiór złośliwego oprogramowania szyfrującego pliki na komputerze ofiary i żądającego okupu za klucz deszyfrujący. Ten konkretny program szyfrujący atakuje urządzenia NAS. Ransomware WantToCry dołącza plik .want_to_cry rozszerzenia plików, które szyfruje. To wyraźnie wskazuje, które pliki zostały naruszone i są niedostępne bez klucza deszyfrującego. Chociaż w dostarczonym źródle nie określono szczegółowo metody szyfrowania stosowanej przez WantToCry, oprogramowanie ransomware zazwyczaj używa silnych algorytmów szyfrowania, takich jak AES (Advanced Encryption Standard) lub RSA (Rivest – Shamir – Adleman), aby blokować pliki, czyniąc je niedostępnymi bez unikalnego klucza deszyfrującego . Jest to wirus kryptograficzny, który blokuje pliki i zmusza ofiary do zapłaty w celu odzyskania dostępu do swoich danych. WantToCry tworzy żądanie okupu o nazwie !want_to_cry.txt który pozostaje na komputerze ofiary. Notatka ta informuje ofiarę, że jej dane zostały zaszyfrowane i zawiera instrukcje dotyczące zapłacenia okupu, który wynosi 300 dolarów. Ofiary proszone są o pobranie i zainstalowanie qTOX, utworzenie profilu i skontaktowanie się z cyberprzestępcami za pośrednictwem czatu qTOX w celu ustalenia płatności.

Mallox Ransomware, znane również jako „TargetCompany” lub „Fargo”, to złośliwe oprogramowanie, które szyfruje pliki na komputerze ofiary i żąda okupu za klucz deszyfrujący. Działa od połowy 2021 r. i działa w modelu Ransomware-as-a-Service (RaaS), wykorzystując podziemne fora i rynki do rekrutacji partnerów i reklamowania swoich usług. Mallox szyfruje pliki przy użyciu algorytmu szyfrowania ChaCha20 i dodaje do zaszyfrowanych plików różne rozszerzenia plików, takie jak .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx i inne. W niektórych przypadkach używa również imion ofiar jako rozszerzenia. Ransomware upuszcza notatkę z żądaniem okupu (HOW TO RESTORE FILES.txt) w każdym katalogu na dysku ofiary, wyjaśniając infekcję i podając dane kontaktowe atakujących. Notatka instruuje ofiary, aby wysłały swój dowód osobisty na adres e-mail atakującego, aby otrzymać instrukcje dotyczące płatności za narzędzie deszyfrujące.

Press Ransomware to rodzaj złośliwego oprogramowania należącego do kategorii oprogramowania krypto-ransomware, którego zadaniem jest szyfrowanie danych na zainfekowanych komputerach, uniemożliwiając użytkownikom dostęp do plików. Następnie napastnicy żądają zapłaty okupu w zamian za klucz odszyfrowujący, który umożliwi ofiarom odzyskanie dostępu do zaszyfrowanych plików. Po zaszyfrowaniu plików dołącza się Press Ransomware .press, .dwarf or .spfre rozszerzenia nazw plików, dzięki czemu można je łatwo zidentyfikować. Na przykład plik o oryginalnej nazwie 1.jpg zostanie przemianowany na 1.jpg.press po szyfrowaniu. Konkretny algorytm szyfrowania używany przez Press Ransomware nie jest szczegółowo opisany w dostarczonych wynikach wyszukiwania, ale tego typu złośliwe oprogramowanie często korzysta z solidnych metod szyfrowania, takich jak AES lub RSA, aby zapobiec nieautoryzowanemu odszyfrowaniu. Po zakończeniu procesu szyfrowania Press Ransomware upuszcza list z żądaniem okupu o nazwie RECOVERY NFO.txt na komputerze ofiary. Ta notatka informuje ofiarę, że jej pliki zostały zaszyfrowane i że wydobyto wrażliwe dane. Napastnicy grożą sprzedażą lub ujawnieniem skradzionych treści w Internecie, jeśli okup nie zostanie zapłacony. Notatka oferuje również ofierze możliwość wysłania kilku zaszyfrowanych plików do atakującego w celu bezpłatnego odszyfrowania jako dowód, że potrafi on odszyfrować pliki.

DiskStation Security Ransomware to rodzaj złośliwego oprogramowania, którego celem są urządzenia Synology NAS (Network Joint Storage), które są często używane do przechowywania dużych ilości danych, w tym kopii zapasowych i plików osobistych. Głównym celem tego ransomware, podobnie jak innych, jest szyfrowanie plików w zainfekowanym systemie i żądanie okupu od ofiary w zamian za klucz deszyfrujący. Rozszerzenia plików, na które atakuje oprogramowanie ransomware DiskStation Security, nie są szczegółowo opisane w dostarczonych wynikach wyszukiwania. Jednak oprogramowanie ransomware zazwyczaj atakuje szeroką gamę typów plików, zwłaszcza tych związanych z ważnymi dokumentami, obrazami, filmami i bazami danych. Nie określono również używanej metody szyfrowania, ale oprogramowanie ransomware powszechnie stosuje AES (Advanced Encryption Standard) ze względu na jego niezawodność. Po zaszyfrowaniu ransomware dodaje losowe rozszerzenia do plików. Po pomyślnym zaszyfrowaniu plików oprogramowanie ransomware zazwyczaj pozostawia notatkę z żądaniem okupu (!!Read Me!!.txt) na pulpicie lub w odpowiednich katalogach. Notatka ta zawiera instrukcje dla ofiary dotyczące sposobu zapłaty okupu i często zawiera groźby zniszczenia lub ujawnienia danych w przypadku niespełnienia żądań.

RCRU64 Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za klucz deszyfrujący. Rozprzestrzenia się głównie poprzez załączniki do wiadomości e-mail w atakach typu phishing, pobieranie złośliwego oprogramowania i wykorzystywanie luk w zabezpieczeniach, w szczególności poprzez słabe hasła protokołu Remote Desktop Protocol (RDP). RCRU64 zmienia nazwy zaszyfrowanych plików, dodając identyfikator ofiary, adres e-mail i określone rozszerzenie. Znane rozszerzenia związane z RCRU64 obejmują .HM8 i inne warianty, takie jak „.TGH”, „.03rK”, „.q6BH” i „.IalG. Oprogramowanie ransomware wykorzystuje silne algorytmy szyfrowania do blokowania plików na zainfekowanym komputerze. Chociaż szczegółowe informacje na temat metody szyfrowania nie są podane w wyników wyszukiwania, oprogramowanie ransomware zazwyczaj wykorzystuje kombinację szyfrowania symetrycznego (np. AES) i asymetrycznego (np. RSA) w celu zabezpieczenia plików, przez co odszyfrowanie bez klucza jest prawie niemożliwe. RCRU64 tworzy notatki z żądaniem okupu o nazwie Restore_Your_Files.txt i ReadMe.hta, które informują ofiary, że ich pliki zostały zaszyfrowane i zawierają instrukcje dotyczące płatności. Notatki ostrzegają przed samodzielnymi próbami odszyfrowania plików i oferują odszyfrowanie kilku plików jako dowód przed dokonaniem płatności.

Proton jest infekcją ransomware. Celem tego wirusa jest szyfrowanie potencjalnie krytycznych fragmentów danych, a następnie żądanie pieniędzy za ich całkowite odszyfrowanie. Robiąc to, Proton zmienia również pliki wizualnie – plik, którego to dotyczy, z funkcją pobierania kigatsu@tutanota.com adres e-mail, identyfikator ofiary i .Proton or .kigatsu rozszerzenie do zaszyfrowanych plików. Na przykład plik taki jak 1.pdf zmieni się, aby wyglądać jak 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Po tej zmianie ofiary nie będą już mogły uzyskać dostępu do swoich plików, bez względu na to, jakie modyfikacje zostaną wprowadzone. Po tym wirus upuszcza plik README.txt notatka tekstowa zawierająca instrukcje odszyfrowania. Mówi się, że dane ofiary zostały zaszyfrowane (przy użyciu algorytmów AES i ECC) i skradzione przez cyberprzestępców. Słowo „skradziony” prawdopodobnie sugeruje, że zaszyfrowane dane zostały skopiowane na serwery cyberprzestępców i mogą zostać wykorzystane w dowolnym momencie, chyba że zapłacą okup. Przestępcy zachęcają swoje ofiary do skontaktowania się z nimi za pośrednictwem telegramu lub poczty elektronicznej i zakupu usługi deszyfrowania. Ponadto ofiary mogą również wysłać jeden plik (mniejszy niż 1 MB) i bezpłatnie go odszyfrować. W ten sposób cyberprzestępcy demonstrują swoją wiarygodność i zdolność odzyskania dostępu do zablokowanych danych. Na końcu wiadomości z żądaniem okupu oszuści umieszczają kilka ostrzeżeń dotyczących ryzyka związanego z próbą odszyfrowania plików bez pomocy twórców oprogramowania ransomware.