Wirusy

Keversena to wirus typu ransomware, którego celem jest silne szyfrowanie danych. Ma to na celu nakłonienie ofiar do zapłacenia tak zwanego okupu w celu odszyfrowania zablokowanych plików. Wszystkie instrukcje dotyczące procesu odzyskiwania zostaną ujawnione po zaszyfrowaniu plików. Wirus Keversen zmienia nazwy szerokiego zakresu danych osobowych (zdjęć, filmów, dokumentów, baz danych itp.) na .keversen rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zmieni się na 1.pdf.keversen zaraz po szyfrowaniu. Wszystko to dzieje się w mgnieniu oka, więc nie ma sposobu, aby temu zapobiec, chyba że masz zainstalowany specjalny program anty-ransomware. Następnie, zaraz po zakończeniu tego etapu infekcji, Keversen Ransomware przechodzi do tworzenia !=GOTOWY=!.txt uwaga, która rzuca kilka słów na temat odzyskiwania danych.

Inf jest przykładem infekcji ransomware, która szyfruje różnego rodzaju dane osobowe przechowywane w systemie. Po oficjalnym zakończeniu tego procesu ofiary nie będą już mogły uzyskać dostępu do swoich danych. Infa Ransomware przypisuje jedno wspólne rozszerzenie (.inf) do wszystkich skompromitowanych plików. Oznacza to plik podobny do 1.pdf zostanie zmieniony na 1.pdf.infa lub podobnie w zależności od pierwotnej nazwy. Zaraz po zmianie nazwy wszystkich plików wirus wymusza napisanie notatki tekstowej o nazwie czytaj teraz.txt upuścić na pulpit. Zawiera ogólne informacje o tym, jak odzyskać dane. Jak stwierdzono w notatce, pliki takie jak zdjęcia, filmy, dokumenty i inne formaty zostały zaszyfrowane. Aby usunąć dołączone szyfry, ofiary powinny skontaktować się z cyberprzestępcami (za pośrednictwem stevegabriel2000@gmail.com) i kup specjalny klucz deszyfrujący. Cena wynosi 0.0022 BTC, czyli około 95 $ w czasie, gdy piszemy ten artykuł. Wspomniano również, że na odszyfrowanie plików przydzielono 2 dni. Jeśli nie dokonasz płatności na czas, Twoje pliki zostaną usunięte z systemu. Wybór zapłaty za odszyfrowanie zależy od twojej własnej decyzji.

MedusaLocker jest jednym z największych agregatorów ransomware, który rozprzestrzenia szereg infekcji złośliwym oprogramowaniem. Podobnie jak inne programy ransomware, wirus ma na celu szyfrowanie danych przechowywanych na komputerze i żądanie okupu pieniężnego w zamian za oprogramowanie deszyfrujące. .krlock, .L54, .kiedykolwiek101 to najnowsze wersje opublikowane przez MedusaLocker Ransomware. Są to również rozszerzenia przypisane do każdego skompromitowanego elementu. Na przykład plik taki jak 1.pdf zmieni się na 1.pdf.krlock, 1.pdf.L54lub 1.ever101 w zależności od tego, która wersja zhakowała twój system. Nie ma prawdziwej różnicy w tym, która wersja rzuciła się na twoją sieć. Wszystkie używają kombinacji algorytmów AES i RSA do zapisywania bezpiecznych szyfrów na danych. Jedynym aspektem, który się zmienia, są notatki tekstowe z żądaniem okupu utworzone po zakończeniu szyfrowania. Chociaż treść może się różnić, ale nadal zawiera mniej więcej tę samą wiadomość dla zainfekowanych ofiar. Możesz spotkać się z żądaniem okupu o nazwie Recovery_Instructions.html, HOW_TO_RECOVER_DATA.htmllub podobne prowadzące do stron przeglądarki.

Jadowity to wirus typu ransomware, który blokuje większość przechowywanych danych i żąda tak zwanego okupu, aby je odzyskać. Ten proces jest bardziej znany jako szyfrowanie plików, ponieważ istnieją szyfry kryptograficzne stosowane przez złośliwe oprogramowanie za pomocą algorytmów AES-256. Oprócz szyfrowania plików na poziomie konfiguracji, Venomous zmienia je również wizualnie. Łączy w sobie oryginalne nazwy plików, identyfikatory ofiar i .jadowity rozszerzenie do zmiany nazwy zagrożonych danych. Na przykład plik taki jak „1.pdf” pojawi się jako 1.pdf.FB5MMSJUD2WP.venomous na koniec szyfrowania. Wkrótce potem Venomous przechodzi do tworzenia pliku tekstowego o nazwie PRZEPRASZAM ZA PLIKI.txt który przechowuje instrukcje deszyfrowania. Notatka stwierdza, że ​​wszystkie dane przechowywane w twoim systemie zostały zainfekowane silnymi algorytmami. Ostrzega się również, aby nie zmieniać nazw ani nie edytować zaszyfrowanych plików, ponieważ może to spowodować ich uszkodzenie. Aby zapewnić gwarantowane i wolne od uszkodzeń odzyskanie danych, ofiarom proponuje się zakup kluczy deszyfrujących przechowywanych przez cyberprzestępców. W tym celu użytkownicy powinni wysłać swój osobisty identyfikator do @venomous_support za pośrednictwem aplikacji Telegram lub skontaktować się z szantażystami za pomocą jadowity.files@tutanota.com adres e-mail. Ponadto proponuje się przetestowanie bezpłatnego odszyfrowania przed zapłaceniem okupu. Aby to zrobić, ofiary są kierowane do otwarcia łącza Tor dołączonego do notatki i przesłania 1 zaszyfrowanej próbki danych.

Bycie częścią Dharma Ransomware rodzina, Dharma-TOR to kolejny szkodliwy program, który szyfruje dane osobowe. Popełniając ten czyn, programiści zmuszają ofiary do zapłacenia tak zwanego okupu. Pierwszą oznaką infekowania twojego systemu przez Dharma-Tor są nowe rozszerzenia plików. Cyberprzestępcy przypisują ofierze osobisty identyfikator, adres kontaktowy i .SŁUP rozszerzenie na koniec każdego pliku. Na przykład, 1.pdf lub inne pliki przechowywane w twoim systemie otrzymają nowy wygląd 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, lub coś podobnego. Wkrótce po tym, jak wszystkie dane zostaną pomyślnie zmienione, Dharma-TOR zawiera wyskakujące okienko wraz z plikiem tekstowym o nazwie FILES ENCRYPTED.txt, który jest upuszczony na pulpit. Zarówno wyskakujące okienko, jak i notatka tekstowa mają na celu instruowanie ofiar przez proces odzyskiwania. Mówi się, że użytkownicy powinni kontaktować się z programistami za pośrednictwem adresu e-mail podanego w rozszerzeniu wraz z ich osobistym identyfikatorem. W przypadku braku odpowiedzi ofiary są kierowane do wyboru innego adresu e-mail załączonego w wiadomości. Po nawiązaniu udanego kontaktu z cyberprzestępcami użytkownicy prawdopodobnie otrzymają instrukcje zapłaty za zakup odszyfrowywania danych.

Użytkownicy zainfekowani Makop Ransomware zobaczą, że ich dane są zablokowane przed regularnym dostępem i zmienione za pomocą środków wizualnych. Istnieją różne wersje używane przez programistów Makop do rozprzestrzeniania się na ofiarach. Jedyna prawdziwa różnica między nimi polega na różnych rozszerzeniach i adresach e-mail (.hinduizm, gamigin, .dev0, itp.) używane do zmiany nazw zaszyfrowanych plików. Resztę można opisać jako czystą replikację poprzednich wersji Makopa za pomocą szablonu. Gdy ten wirus dostanie się do komputera, prawie wszystkie dostępne dane zostaną przypisane do unikalnego identyfikatora ofiary, kontaktowego adresu e-mail i losowego rozszerzenia, w zależności od wersji, która zaatakowała twój system. Na przykład plik taki jak 1.pdf zmieni się na coś takiego 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduismlub podobnie z innymi rozszerzeniami, takimi jak .gamigin, .dev0 lub .makop. Wkrótce po zakończeniu tej części szyfrowania wirus upuszcza notatkę tekstową o nazwie plik readme-warning.txt do każdego folderu zawierającego naruszone dane. Notatka zawiera listę pytań i odpowiedzi wyjaśniających szczegóły odzyskiwania. Mówi się, że użytkownicy mają jedyny sposób na przywrócenie danych - zapłać za odszyfrowanie w Bitcoinach. Dyspozycję płatności uzyskamy dopiero po nawiązaniu kontaktu e-mailowego (hinduizm0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.iolub inny adres). Podobnie rozszerzenia, adresy kontaktowe są częścią równania różniącą się w zależności od osoby.

Gooolag to infekcja ransomware, która powoduje odcięcie wszystkich przechowywanych danych od regularnego dostępu do żądania zapłacenia okupu za odzyskanie. Bardziej prawdopodobne jest, że firmy o wysokich dochodach zostaną zainfekowane tą wersją ransomware. Cyberprzestępcy używają tzw .crptd rozszerzenie do każdego zaszyfrowanego pliku. Na przykład kawałek danych, taki jak 1.xls zmieni się na 1.xls.crptd i zresetuj jego oryginalną ikonę. Po tym etapie szyfrowania ofiary otrzymują instrukcje odszyfrowania przedstawione w notatce tekstowej o nazwie How To Restore Your Files.txt. Notatka odsłania świat bolesnych informacji dotyczących danych. Początkowo cyberprzestępcy twierdzą, że na anonimowe serwery przesłano 600 gigabajtów ważnych danych. Następnie ofiary są atakowane telefonami zastraszającymi — atakami DDoS (rozproszona odmowa usługi) na całe domeny i kontakty firmowe. Aby temu zapobiec i utracie całości danych ofiary są zobowiązane do kontaktowania się z szantażystami za pomocą komunikacji e-mail (Gooolag46@protonmail.com or guandong@mailfence.com). Jeśli programiści podejrzewają, że coś jest związane z policją lub władzami cybernetycznymi, wpłynie to na proces odzyskiwania.

Kikiriki to infekcja ransomware, która izoluje dostęp do danych przechowywanych na komputerze. Wszystkie ważne pliki zostają zaszyfrowane i zmienione za pomocą środków wizualnych. Twórcy Kikiriki dołączają nowy .kikiriki rozszerzenie wraz z identyfikatorem ofiary. Aby to zilustrować, plik taki jak 1.pdf prawdopodobnie zmieni się na 1.pdf.kikiriki.19A-052-6D8 i podobnie. Wkrótce potem wirus tworzy plik tekstowy o nazwie !!! WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE !!!.TXT. Twórcy ransomware twierdzą, że nie ma innego sposobu na odszyfrowanie danych niż zapłacenie okupu. Cena za odszyfrowanie nie została jeszcze ustalona w dalszych negocjacjach, jednak ofiary są już poinformowane, że powinno to nastąpić w Bitcoinach. Aby poznać dalsze instrukcje dotyczące płatności, ofiary są proszone o skontaktowanie się z szantażystami za pośrednictwem platform qTOX lub Jabber. Jest również proszony o wypróbowanie bezpłatnego odszyfrowania danych. Ofiary mogą wysłać 2 zablokowane pliki w formacie .jpg, .xls, .doc lub podobnym, z wyjątkiem baz danych (maksymalnie 2 MB). Powinno to udowodnić zdolność odszyfrowywania i zwiększyć zaufanie ofiar. Mimo to często zdarza się, że wielu cyberprzestępców oszukuje swoje ofiary nawet po otrzymaniu okupu. Tak więc płacenie okupu jest pełne zagrożeń, które każdy, kto jest zainfekowany złośliwym oprogramowaniem, powinien wziąć pod uwagę.