Wirusy

Bycie częścią Dharma Ransomware rodzina, Dharma-TOR to kolejny szkodliwy program, który szyfruje dane osobowe. Popełniając ten czyn, programiści zmuszają ofiary do zapłacenia tak zwanego okupu. Pierwszą oznaką infekowania twojego systemu przez Dharma-Tor są nowe rozszerzenia plików. Cyberprzestępcy przypisują ofierze osobisty identyfikator, adres kontaktowy i .SŁUP rozszerzenie na koniec każdego pliku. Na przykład, 1.pdf lub inne pliki przechowywane w twoim systemie otrzymają nowy wygląd 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, lub coś podobnego. Wkrótce po tym, jak wszystkie dane zostaną pomyślnie zmienione, Dharma-TOR zawiera wyskakujące okienko wraz z plikiem tekstowym o nazwie FILES ENCRYPTED.txt, który jest upuszczony na pulpit. Zarówno wyskakujące okienko, jak i notatka tekstowa mają na celu instruowanie ofiar przez proces odzyskiwania. Mówi się, że użytkownicy powinni kontaktować się z programistami za pośrednictwem adresu e-mail podanego w rozszerzeniu wraz z ich osobistym identyfikatorem. W przypadku braku odpowiedzi ofiary są kierowane do wyboru innego adresu e-mail załączonego w wiadomości. Po nawiązaniu udanego kontaktu z cyberprzestępcami użytkownicy prawdopodobnie otrzymają instrukcje zapłaty za zakup odszyfrowywania danych.

Użytkownicy zainfekowani Makop Ransomware zobaczą, że ich dane są zablokowane przed regularnym dostępem i zmienione za pomocą środków wizualnych. Istnieją różne wersje używane przez programistów Makop do rozprzestrzeniania się na ofiarach. Jedyna prawdziwa różnica między nimi polega na różnych rozszerzeniach i adresach e-mail (.hinduizm, gamigin, .dev0, itp.) używane do zmiany nazw zaszyfrowanych plików. Resztę można opisać jako czystą replikację poprzednich wersji Makopa za pomocą szablonu. Gdy ten wirus dostanie się do komputera, prawie wszystkie dostępne dane zostaną przypisane do unikalnego identyfikatora ofiary, kontaktowego adresu e-mail i losowego rozszerzenia, w zależności od wersji, która zaatakowała twój system. Na przykład plik taki jak 1.pdf zmieni się na coś takiego 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduismlub podobnie z innymi rozszerzeniami, takimi jak .gamigin, .dev0 lub .makop. Wkrótce po zakończeniu tej części szyfrowania wirus upuszcza notatkę tekstową o nazwie plik readme-warning.txt do każdego folderu zawierającego naruszone dane. Notatka zawiera listę pytań i odpowiedzi wyjaśniających szczegóły odzyskiwania. Mówi się, że użytkownicy mają jedyny sposób na przywrócenie danych - zapłać za odszyfrowanie w Bitcoinach. Dyspozycję płatności uzyskamy dopiero po nawiązaniu kontaktu e-mailowego (hinduizm0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.iolub inny adres). Podobnie rozszerzenia, adresy kontaktowe są częścią równania różniącą się w zależności od osoby.

Gooolag to infekcja ransomware, która powoduje odcięcie wszystkich przechowywanych danych od regularnego dostępu do żądania zapłacenia okupu za odzyskanie. Bardziej prawdopodobne jest, że firmy o wysokich dochodach zostaną zainfekowane tą wersją ransomware. Cyberprzestępcy używają tzw .crptd rozszerzenie do każdego zaszyfrowanego pliku. Na przykład kawałek danych, taki jak 1.xls zmieni się na 1.xls.crptd i zresetuj jego oryginalną ikonę. Po tym etapie szyfrowania ofiary otrzymują instrukcje odszyfrowania przedstawione w notatce tekstowej o nazwie How To Restore Your Files.txt. Notatka odsłania świat bolesnych informacji dotyczących danych. Początkowo cyberprzestępcy twierdzą, że na anonimowe serwery przesłano 600 gigabajtów ważnych danych. Następnie ofiary są atakowane telefonami zastraszającymi — atakami DDoS (rozproszona odmowa usługi) na całe domeny i kontakty firmowe. Aby temu zapobiec i utracie całości danych ofiary są zobowiązane do kontaktowania się z szantażystami za pomocą komunikacji e-mail (Gooolag46@protonmail.com or guandong@mailfence.com). Jeśli programiści podejrzewają, że coś jest związane z policją lub władzami cybernetycznymi, wpłynie to na proces odzyskiwania.

Kikiriki to infekcja ransomware, która izoluje dostęp do danych przechowywanych na komputerze. Wszystkie ważne pliki zostają zaszyfrowane i zmienione za pomocą środków wizualnych. Twórcy Kikiriki dołączają nowy .kikiriki rozszerzenie wraz z identyfikatorem ofiary. Aby to zilustrować, plik taki jak 1.pdf prawdopodobnie zmieni się na 1.pdf.kikiriki.19A-052-6D8 i podobnie. Wkrótce potem wirus tworzy plik tekstowy o nazwie !!! WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE !!!.TXT. Twórcy ransomware twierdzą, że nie ma innego sposobu na odszyfrowanie danych niż zapłacenie okupu. Cena za odszyfrowanie nie została jeszcze ustalona w dalszych negocjacjach, jednak ofiary są już poinformowane, że powinno to nastąpić w Bitcoinach. Aby poznać dalsze instrukcje dotyczące płatności, ofiary są proszone o skontaktowanie się z szantażystami za pośrednictwem platform qTOX lub Jabber. Jest również proszony o wypróbowanie bezpłatnego odszyfrowania danych. Ofiary mogą wysłać 2 zablokowane pliki w formacie .jpg, .xls, .doc lub podobnym, z wyjątkiem baz danych (maksymalnie 2 MB). Powinno to udowodnić zdolność odszyfrowywania i zwiększyć zaufanie ofiar. Mimo to często zdarza się, że wielu cyberprzestępców oszukuje swoje ofiary nawet po otrzymaniu okupu. Tak więc płacenie okupu jest pełne zagrożeń, które każdy, kto jest zainfekowany złośliwym oprogramowaniem, powinien wziąć pod uwagę.

flubot to złośliwa infekcja sklasyfikowana jako trojan bankowy, której zdarza się penetrować smartfony z systemem Android. Duża liczba użytkowników zgłaszała otrzymywanie podejrzanych wiadomości z odsyłaczami do stron pobierania. Dokładnie w ten sposób FluBot atakuje swoje ofiary. Oszuści wysyłają wiele podobnych wiadomości SMS (w różnych językach), które zawierają łącza do pobrania rzekomo legalnej aplikacji FedEx. Fałszywa witryna dostarczająca udostępnia plik APK używany do instalowania wirusa FluBot. Gdy tylko uruchomisz plik APK, kreator instalacji poprosi o przyznanie wielu rodzajów uprawnień, takich jak czytanie kontaktów, obserwowanie i wysyłanie wiadomości SMS, przesyłanie powiadomień, inicjowanie połączeń telefonicznych, śledzenie lokalizacji i inne podejrzane uprawnienia. Posiadanie tak dużej liczby nieuzasadnionych uprawnień rodzi ogromne pytanie bezpieczeństwa. Zezwalając na wszystkie wymienione działania, Twój smartfon będzie w pełni kontrolowany przez cyberprzestępców. Pomoże im to zatem w gromadzeniu wrażliwych danych wprowadzanych podczas użytkowania. Po uzyskaniu dostępu do smartfona wirus otrzymuje również zdalne polecenia z serwerów, aby wyłączyć ochronę urządzenia i inne funkcje zapobiegające inwazji stron trzecich. Należy pamiętać, że FluBot może również generować fałszywe okna, które będą wymagały podania informacji bankowych (numer karty kredytowej, kody CVC/CVC2 itp.). Wszystko, o czym wspomniano powyżej, dowodzi, że FluBot to niebezpieczny element, który należy usunąć.

Bycie częścią ByteLocker rodzina, JanusLocker to infekcja ransomware, która blokuje dostęp do plików przechowywanych w systemie. W ten sposób programiści szantażują ofiary, aby zapłaciły tak zwany okup w zamian za dane. Zarówno instrukcje dotyczące płatności, jak i instrukcje odszyfrowywania znajdują się wewnątrz notatki tekstowej, która jest tworzona po tym, jak wszystkie pliki zostaną zaszyfrowane. JanusLocker przypisuje ZHAKOWANO rozszerzenie do każdego fragmentu pliku. Na przykład, 1.pdf lub jakikolwiek inny plik zaatakowany na twoim komputerze zmieni się na 1.pdf.HACKED i stają się niedostępne. Napisano, że wszystkie ważne dane zostały zaszyfrowane przy użyciu algorytmów AES-256. Aby usunąć dołączony szyfr, użytkownicy są zachęcani do zapłaty za unikalne oprogramowanie deszyfrujące. Cena oprogramowania to około 0.018 BTC, czyli około 618 USD w momencie pisania tego artykułu. Po tym, jak użytkownicy wykonają przelew pieniędzy za pośrednictwem załączonego adresu kryptograficznego, powinni powiadomić cyberprzestępców za pomocą swojego identyfikatora transakcji za pomocą poczty e-mail (TwoHearts911@protonmail.com). Wkrótce potem użytkownicy powinni otrzymać obiecane narzędzia deszyfrujące zakupione od cyberprzestępców. Niestety, nie zawsze tak jest. Wielu twórców ransomware oszukuje swoje ofiary nawet po otrzymaniu płatności. Dlatego zaufanie JanusLocker za pomocą środków pieniężnych jest dość dużym ryzykiem.

BigLocker to wirus typu ransomware, który sprawia, że ​​większość plików przechowywanych w systemie jest całkowicie niedostępna. Ten proces jest bardziej znany jako szyfrowanie danych. Obejmuje silne algorytmy AES i RSA przeznaczone do przypisywania szyfrów klasy wojskowej, co sprawia, że ​​samoodszyfrowanie jest prawie niemożliwe. Podobnie jak inne złośliwe oprogramowanie tego typu, BiggyLocker przypisuje .$big$ do każdego zaszyfrowanego fragmentu danych. Na przykład plik taki jak 1.pdf zostanie zmieniony na 1.pdf.$big$ i zresetuj jego oryginalną ikonę. Następnie, gdy tylko ta część szyfrowania zostanie zakończona, wirus przechodzi do tworzenia notatki tekstowej o nazwie read_me.txt. Jest upuszczany na pulpit i zawiera instrukcje żądania okupu. Jak twierdzą programiści, niemożliwe jest odzyskanie zablokowanych plików bez ich pomocy. Aby to zrobić, ofiary są proszone o zapłacenie za oprogramowanie do odszyfrowywania społecznościowego będące w posiadaniu samych cyberprzestępców. Cena za taki wynosi 120 $ do przelewu w Bitcoin. Gdy ofiary zapłacą żądany okup za pośrednictwem adresu kryptograficznego, powinny skontaktować się z szantażystami przy użyciu swojego adresu e-mail (cyberlock06@protonmail.com). Następnie ofiary powinny rzekomo otrzymać obiecane narzędzia deszyfrujące, aby odzyskać dostęp do swoich danych.

haron jest jedną z wielu infekcji ransomware, których celem jest szyfrowanie danych osobowych w celu zażądania zapłacenia tak zwanego okupu. Takie złośliwe oprogramowanie sprawia, że ​​większość danych przechowywanych na Twoim urządzeniu jest zablokowana przed regularnym dostępem. Innymi słowy, użytkownicy dotknięci oprogramowaniem ransomware nie mają już dostępu do plików. Aby dowiedzieć się, czy zostały zaszyfrowane, wystarczy spojrzeć na ich wygląd. Haron dodaje .czadda rozszerzenie do każdego z plików i wymusza również reset ikon. Na przykład plik o nazwie 1.pdf zostanie zmieniony na 1.pdf.chaddad i upuść jego ikonę na pustą. Po zakończeniu tej części infekcji ofiary otrzymują dwie notatki (RESTORE_FILES_INFO.txt i RESTORE_FILES_INFO.hta) z instrukcjami odszyfrowywania. Instrukcje te mają na celu poinformowanie użytkowników o szyfrowaniu. Ponadto twierdzą, że cyberprzestępcy są jedynymi postaciami, które mogą odzyskać twoje dane. W tym celu użytkownicy proszeni są o zakup unikalnego oprogramowania do odszyfrowywania posiadanego przez samych szantażystów. Ofiary muszą uzyskać dostęp do łącza za pośrednictwem przeglądarki Tor, aby dokonać wymaganej płatności. Czasami oszuści zapominają o umieszczeniu linków kontaktowych lub płatniczych, co automatycznie uniemożliwia odzyskanie danych za pośrednictwem cyberprzestępców.