Wirusy

Odkryty przez badacza złośliwego oprogramowania o nazwie S!Ri, Artemis należy do rodziny ransomware PewPew. Oszustwa stojące za tą rodziną rozprzestrzeniły szereg infekcji wysokiego ryzyka, które uruchamiają szyfrowanie danych. Artemis to najnowszy wariant narzędzia do szyfrowania plików, który odcina dostęp do większości przechowywanych danych za pomocą wielowarstwowych algorytmów kryptograficznych. Algorytmy te sprawiają, że dane są dokładnie szyfrowane, co uniemożliwia użytkownikom ich otwarcie. Poza tym zaszyfrowane pliki zablokowane przez Artemis również ulegają zmianie wizualnej. Na przykład plik taki jak 1.pdf zmieni się w coś takiego 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis i zresetuj jego oryginalną ikonę. Ten ciąg składa się z identyfikatora ofiary, khalate@tutanota.com adres e-mail i Artemida rozszerzenie na koniec. Następnie, gdy tylko szyfrowanie dobiegnie końca, Artemis wyświetli monit info-deszyfruj.hta pojawiać się na całym ekranie. Najnowsze wersje złośliwego oprogramowania Przeczytaj mnie-[identyfikator_ofiary].txt nazwa i użycie żądania okupu .ostateczny i .999 rozszerzenia (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate oraz 1.pdf.id[identyfikator_ofiary].[restoredisscus@gmail.com].999).

Dzień dobry to złośliwy program sklasyfikowany jako ransomware. Jego głównym celem jest zarabianie pieniędzy na ofiarach, których dane zostały zaszyfrowane silnymi szyframi. Zazwyczaj ofiary dowiadują się o infekcji po tym, jak GoodMorning przypisuje nowe złożone rozszerzenie do zaatakowanych plików (kończące się na .Dzień dobry, .ZABLOKOWANY or .PRAWDZIWY). Na przykład, 1.pdf i inne pliki przechowywane w systemie zostaną zmienione na ten wzorzec 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Identyfikator wewnątrz rozszerzeń będzie się różnił indywidualnie, ponieważ jest unikalny dla każdej ofiary. Następnie, gdy wszystkie pliki zostaną zaszyfrowane i wizualnie zmienione, wirus tworzy notatki tekstowe o nazwie albo Dzień dobry.txt, Odczyt.txt or ReadMe.txt. Ma on na celu wyjaśnienie szerszych instrukcji dotyczących odzyskiwania danych.

Zapłać to program ransomware, który infekuje systemy Windows w celu zaszyfrowania danych osobowych. Wpływa to na konfigurację przechowywanych plików, czyniąc je całkowicie niedostępnymi. Oznacza to, że wszelkie próby otwarcia plików zostaną odrzucone z powodu szyfrowania. Oprócz zmian w konfiguracji, Pagar Ransomware modyfikuje dane również za pomocą środków wizualnych - przypisując pagar40br@gmail.com rozszerzenie do każdego zaszyfrowanego pliku. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.pagar40br@gmail.com i zresetuj pierwotną ikonę do pustej. Po tym, jak wszystkie pliki zostaną zaszyfrowane, Pagar tworzy żądanie okupu o nazwie Pilne powiadomienie.txt, który wyjaśnia, jak odzyskać dane. Twórcy ransomware są zwięźli i mówią, że masz 72 godziny na wysłanie 0.035 BTC do załączonego portfela. Zaraz po dokonaniu płatności ofiary powinny skontaktować się z programistami za pośrednictwem pagar40br@gmail.com, podając własny adres portfela i unikalny identyfikator (zapisany w notatce). Niestety, nie ma żadnych informacji na temat tego, czy programistom Pagar można zaufać.

Chaos to popularna rodzina ransomware, która rozprzestrzenia wiele wersji złośliwego oprogramowania. Po infekcji większość plików przechowywanych w systemie zostaje ponownie dostosowana, stając się niedostępna. Robią to cyberprzestępcy w celu wyłudzenia od ofiar tzw. okupu w zamian za odblokowanie danych. W tej chwili istnieją 4 najpopularniejsze wersje propagowane przez Chaos - Axiom, Teddy, Encrypted i AstraLocker Ransomware. Wszystkie 4 przypisują własne rozszerzenie, jednocześnie blokując dostęp do danych. Na przykład plik taki jak 1.pdf może zmienić na 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedlub 1.pdf.astralocker w zależności od tego, która wersja zaatakowała twoją sieć. Początkowo Chaos nazywał się Ryuk .Net Ransomware, ale potem został zaktualizowany i zaczął się rozprzestrzeniać pod nową nazwą. Co więcej, Ryuk.Net jedynie naśladował szyfrowanie za pomocą algorytmów AES+RSA, ale w rzeczywistości wykorzystywał kodowanie Base64 do uszkodzenia struktury plików. Nie wykluczone, że to samo można napotkać również w nowszych wersjach. Można również zobaczyć wersję Chaosu, która dodaje ciąg losowych znaków do zaszyfrowanych plików - na przykład 1.pdf.us00, 1.pdf.wf1d, i tak dalej. Gdy tylko szyfrowanie (lub fałszywe szyfrowanie) dobiegnie końca, wirus tworzy notatkę tekstową z instrukcjami, jak odzyskać dane. Oto nazwy oraz treść każdej notatki tekstowej utworzonej przez różne wersje (README.txt, read_it.txt, PRZECZYTAJ_ME_NOW.txt.

Tohnich oznacza program ransomware, który zmienia rozszerzenia plików, czyniąc je zaszyfrowanymi. .tohnichi to nazwa nowego rozszerzenia przypisanego do każdego skompromitowanego elementu. Oznacza to, że wszystkie zaszyfrowane pliki będą wyglądać tak 1.pdf.tohnichi na końcu procesu. Ostatnim elementem układanki przyniesionym przez Tohnichi jest Jak odszyfrować plik files.txt, plik tekstowy utworzony przez złośliwe oprogramowanie w celu wyjaśnienia instrukcji odszyfrowywania. Przede wszystkim stwierdzono, że twoja sieć została zhakowana, co umożliwiło szantażystom zaszyfrowanie twoich danych. Następnie cyberprzestępcy twierdzą, że są jedynymi postaciami, które mogą bezpiecznie i całkowicie odszyfrować dane. W tym celu ofiary są proszone o nawiązanie komunikacji za pomocą łącza przeglądarki Tor i opłacenie oprogramowania deszyfrującego. Cena jest utrzymywana w tajemnicy i zależy od tego, jak szybko skontaktujesz się z programistami. Po dokonaniu płatności programiści obiecują wysłać unikalne narzędzie deszyfrujące w celu odzyskania danych. Oprócz tego twórcy ransomware twierdzą, że mogą odszyfrować kilka plików (które nie zawierają cennych informacji) przed zapłaceniem okupu za darmo. To rzeczywiście dobra oferta, ale wciąż niewystarczająca, aby zaufać cyberprzestępcom na zasadzie indywidualnej.

Zeppelin został odkryty przez GrujaRS, który jest złośliwym elementem, który infekuje komputery i szyfruje dane użytkownika. Programy tego typu są zazwyczaj zaprojektowane do zarabiania pieniędzy na zdesperowanych użytkownikach, których pliki zostały zablokowane. Jak zwykle, wraz z szyfrowaniem następuje znacząca zmiana w rozszerzeniu pliku - zmienia on ich nazwy za pomocą szesnastkowego systemu liczbowego na coś takiego 1.mp4.126-A9A-0E9. W rzeczywistości rozszerzenie może różnić się symbolami, ponieważ wirus może generować losowe wartości. Po zakończeniu szyfrowania Zepellin tworzy plik tekstowy o nazwie !!! WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE !!!.TXT na twoim pulpicie. W tej notatce szantażyści obrażają cię nadużyciem okupu, wzywając cię do skontaktowania się z nimi i zakupu określonego klucza. Niestety, w tej chwili nie ma sprawdzonej metody, która mogłaby odszyfrować twoje dane za darmo. Jedynym sposobem na to jest postępowanie zgodnie z ich instrukcjami, co stanowi ogromne ryzyko. Chociaż decyzja leży na twoich barkach, zalecamy usunięcie Zeppelin Ransomware w poniższym przewodniku.

MOSN jest sklasyfikowany jako infekcja ransomware, która żąda pieniędzy od ofiar po zaszyfrowaniu danych. Zwykle takie infekcje atakują wszystkie potencjalnie ważne pliki, takie jak zdjęcia, filmy, dokumenty, bazy danych i inne, które mają pewną wartość dla ofiar. Szyfrowanie można wykryć dzięki nowym rozszerzeniom, które są przypisane do każdego zaatakowanego elementu. Na przykład plik o nazwie 1.pdf zmieni się na 1.pdf.MOSN na koniec szyfrowania. To samo będzie widoczne z innymi danymi według tego wzorca. Następnie, wkrótce po tym, MOSN instaluje nowe tapety rozciągnięte na cały ekran, które wyświetlają krótkie podsumowanie okupu. Stwierdza, że ​​ofiary powinny skontaktować się z programistami za pośrednictwem walter1964@mail2tor.com adres e-mail i zapłać 300 $ w Bitcoinach za wykup danych. Dodatkowo MOSN Ransomware tworzy plik tekstowy o nazwie INFORMATION_READ_ME.txt to wyjaśnia to samo, ale także wspomina o liczbie zaszyfrowanych plików i unikalnym identyfikatorze, który należy dołączyć podczas kontaktowania się z szantażystami.

Boskość, Matafaka i Army to trzy infekcje ransomware wprowadzone przez grupę programistów znaną jako Xorist. Po pomyślnym zainfekowaniu systemu wirus wymusza zmianę nazw większości przechowywanych plików. W zależności od tego, która wersja zaatakowała Twój komputer, dowolny plik obrazu, wideo, muzyki lub dokumentu 1.pdf zmieni się na 1.pdf.divinity, 1.pdf.matafakalub 1.pdf.army. Po wizualnej zmianie każdego pliku wyżej wymienione wersje wyświetlają wiadomość tekstową w wyskakujących oknach lub plikach notatnika (HOW TO DECRYPT FILES.txt). Tekst jest inny dla każdej wersji. Aby to zilustrować, Matafaka i Army nie pokazują prawie żadnych informacji na temat odszyfrowywania danych. Wspominają, że twój komputer został zhakowany, ale nie dostarczają żadnych informacji ani instrukcji płatności, aby przywrócić dane. Powodem tego może być to, że te wersje są nadal w fazie rozwoju i testowania. Nie wykluczone, że w sieci krążą już kompletne wersje z pełnoprawnymi instrukcjami. Divinity to jedyna wersja z listy, która ma dane kontaktowe do zapłacenia okupu. W tym celu użytkownicy proszeni są o napisanie bezpośredniej wiadomości do @lulzed Telegram lub @dissimilate na Twitterze. Należy zauważyć, że rodzina Xorist Ransomware wykorzystuje algorytmy XOR i TEA do szyfrowania danych osobowych. Odszyfrowanie danych za pomocą takich szyfrów jest mniej prawdopodobne bez udziału cyberprzestępców. Mimo to wyraźnie odradza się spełnianie żądań fałszywych danych.