Wirusy

Gyjeb to wirus ransomware, który uruchamia szyfrowanie danych w celu wyłudzenia pieniędzy od ofiar. Wygląda bardzo podobnie do Keq4p Ransomware, co oznacza, że ​​prawdopodobnie pochodzą z tej samej rodziny złośliwego oprogramowania. Tak jak Keq4p, Gyjeb Ransomware przypisuje losowy ciąg bezsensownych symboli wraz ze swoimi własnymi gyjeb rozbudowa. Aby to zilustrować, plik taki jak „1.pdf” zmieni swój wygląd na podobny 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb i zresetuj jego oryginalną ikonę. Po tym, jak wszystkie pliki zostaną edytowane w ten sposób, wirus tworzy notatkę tekstową o nazwie nTLA_HOW_TO_DECRYPT.txt co pociąga za sobą instrukcje deszyfrowania. Możesz zapoznać się z tą notatką na poniższym zrzucie ekranu.

Keq4p to infekcja ransomware, która szyfruje dane osobowe za pomocą algorytmów kryptograficznych. Algorytmy te zapewniają silną ochronę danych przed próbami ich odszyfrowania. Pliki atakowane przez oprogramowanie ransomware to zazwyczaj zdjęcia, filmy, muzyka, dokumenty i inne rodzaje danych, które mogą mieć pewną wartość. Większość programów do szyfrowania plików zmienia wszystkie pliki, których dotyczy problem, przypisując własne rozszerzenie. Keq4p robi dokładnie to samo, ale dołącza również losowy ciąg symboli. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p lub podobne. Przypisany ciąg jest całkowicie losowy i nie ma prawdziwego celu. Wraz ze zmianami wizualnymi Keq4p zamyka proces szyfrowania tworzeniem zB6F_HOW_TO_DECRYPT.txt, plik tekstowy zawierający instrukcje dotyczące okupu. Możesz przyjrzeć się bliżej temu, co zawiera na poniższym zrzucie ekranu.

Hydra to infekcja ransomware, która uniemożliwia dostęp do danych użytkowników poprzez dokładne szyfrowanie. Oprócz braku dostępu do danych, użytkownicy mogą również zauważyć pewne zmiany wizualne. Hydra przypisuje nowy ciąg symboli zawierający adresy e-mail cyberprzestępców, losowo wygenerowany identyfikator przypisany każdej ofierze oraz .HYDRA rozszerzenie na koniec. Aby to zilustrować, plik taki jak 1.pdf zmieni swój wygląd na [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA i zresetuj oryginalną ikonę do pustej. Gdy tylko wszystkie pliki zostaną zaszyfrowane, wirus wyświetla instrukcje żądające okupu, aby przeprowadzić ofiary przez proces odzyskiwania. Można to znaleźć wewnątrz #FILESENCRYPTED.txt notatka tekstowa, która jest tworzona po zaszyfrowaniu. Programiści Hydra twierdzą, że ofiary mogą przywrócić swoje pliki, pisząc na załączony adres e-mail (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). Następnie cyberprzestępcy powinni udzielić dalszych instrukcji zakupu odszyfrowywania plików.

Delta Plusa to wirus typu ransomware, który wykorzystuje algorytmy kryptograficzne do szyfrowania danych osobowych. Przypisuje silne szyfry, które są trudne do odszyfrowania bez specjalnych narzędzi deszyfrujących posiadanych przez samych cyberprzestępców. Aby kupić te narzędzia, ofiary są proszone o przesłanie równowartości 6,000 USD w BTC na adres kryptograficzny. Cena za odszyfrowanie może również zostać obniżona do 3,000 USD, jeśli uda ci się dokonać płatności w ciągu pierwszych 72 godzin po zainfekowaniu. Wszystkie te informacje są ujawnione wewnątrz notatki tekstowej o nazwie Pomóż przywrócić pliki.txt, który jest tworzony zaraz po zakończeniu szyfrowania plików. Delta Plus dołącza .delta rozszerzenie do wszystkich plików, których dotyczy problem. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.delta i utracić swoją pierwotną ikonę. Po tych zmianach użytkownicy nie będą już mogli uzyskać dostępu do swoich plików, dopóki nie zapłacą wymaganego okupu.

Odkryty przez Tomasa Meskauskasa, Koxic jest określany jako infekcja ransomware, która działa poprzez szyfrowanie danych przechowywanych na komputerze. Innymi słowy, większość plików, takich jak zdjęcia, filmy, muzyka i dokumenty, zostanie zablokowana przez wirusa, aby uniemożliwić użytkownikom dostęp do nich. Wszystkie zaszyfrowane pliki również otrzymują nowe .KOXIC or .KOXIC_PLCAW rozszerzenia. Oznacza to zaszyfrowane pliki, takie jak 1.pdf zmieni się na 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Ten sam wzorzec zostanie zastosowany do pozostałych danych zaszyfrowanych przez oprogramowanie ransomware. Po załatwieniu sprawy z szyfrowaniem wirus tworzy notatkę tekstową wyjaśniającą instrukcje dotyczące okupu. Te instrukcje stanowią, że ofiary powinny skontaktować się z programistami za pośrednictwem koxic@cock.li or koxic@protonmail.com e-maile z osobistym identyfikatorem. Identyfikator ten można znaleźć w załączniku do żądania okupu. Jeśli nie ma takiego bytu, istnieje szansa, że ​​jakaś wersja Koxic Ransomware, która przeniknęła do twojego systemu, jest nadal w fazie rozwoju i testów.

Porno jest klasyfikowany jako infekcja ransomware, której celem jest szyfrowanie danych osobowych. Pliki takie jak zdjęcia, dokumenty, muzyka i filmy najprawdopodobniej będą szyfrowane przez Porn Ransomware. Aby odróżnić zaszyfrowane pliki od zwykłych, programiści przypisują rozszerzenie .porno rozszerzenie do każdej zainfekowanej próbki. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.porn i zresetuj jego oryginalną ikonę. Następnie wirus zaczyna żądać tak zwanego okupu za odzyskanie danych. Informacje te można zobaczyć w wyróżnionym wyskakującym oknie lub notatce tekstowej o nazwie RECUPERAR__.porn.txt. Wewnątrz tej notatki i wyskakującego okienka cyberprzestępcy wyświetlają liczbę plików, które odszyfrowali. Aby usunąć przypisane szyfry, programiści Porn proszą ofiary o wysłanie 1 BTC na załączony adres kryptograficzny, a następnie e-mail z identyfikatorem transakcji. Niestety niewiele ofiar może sobie pozwolić na zapłacenie ceny 1 BTC (42,000 XNUMX USD).

Czarny bajt to nazwa szafki na dane, która szyfruje pliki przechowywane na urządzeniu. Takie złośliwe oprogramowanie jest bardziej znane jako ransomware, ponieważ wyłudza pieniądze od ofiar w celu odzyskania danych. Chociaż BlackByte jest nowy i mało obserwowany, istnieje wystarczająco dużo szczegółów, aby odróżnić go od innych infekcji. Jednym z nich jest tzw .czarnybajt rozszerzenie dołączane do każdego zaszyfrowanego pliku. Na przykład taki kawałek 1.pdf zmieni rozszerzenie na 1.pdf.blackbyte i zresetuj oryginalną ikonę. Następnym krokiem po zaszyfrowaniu wszystkich dostępnych danych jest utworzenie żądania okupu. BlackByte generuje BlackByte_restoremyfiles.hta plik, który wyświetla szczegóły odzyskiwania. Wewnątrz ofiary są instruowane, aby skontaktowały się z cyberprzestępcami za pośrednictwem poczty e-mail. Ta czynność jest obowiązkowa, aby otrzymać dalsze instrukcje dotyczące zakupu deszyfratora plików. Ten deszyfrator jest unikalny i posiadany tylko przez cyberprzestępców. Cena okupu może się różnić w zależności od osoby, osiągając setki dolarów. Pamiętaj, że zapłacenie okupu zawsze wiąże się z ryzykiem utraty pieniędzy na darmo. Wielu szantażystów ma tendencję do oszukiwania swoich ofiar i nie wysyłania żadnych narzędzi deszyfrujących nawet po otrzymaniu żądanych pieniędzy. Niestety, nie ma deszyfratorów innych firm, które mogą zagwarantować 100% odszyfrowanie plików BlackByte.

Ranion to grupa złośliwego oprogramowania, która rozwija i rozprzestrzenia infekcje ransomware. Jego najnowsza wersja nosi nazwę R44s i szyfruje dane przy użyciu silnych algorytmów kryptograficznych, a następnie żąda pieniędzy za ich odkupienie. Ofiary mogą zauważyć, że ich pliki zostały zaszyfrowane za pomocą środków wizualnych. Użyto pierwszych wersji Ranion Ransomware wykrytych w listopadzie 2017 r .okup rozbudowa. Teraz wirus przypisuje równinę .r44s rozszerzenie na wszystkie skompromitowane elementy. Oto krótki przykład tego, jak pliki będą wyglądać po pomyślnym zaszyfrowaniu - 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44s, i tak dalej, w zależności od oryginalnej nazwy pliku. Zaraz po zakończeniu tego procesu szyfrowania R44s tworzy plik HTML o nazwie README_TO_DECRYPT_FILES.html.