Wirusy

Znajdź plik notatki to nazwa infekcji ransomware, która zaczęła polować na użytkowników biznesowych w czerwcu 2021 roku. Podobnie jak inne złośliwe oprogramowanie tego typu, programiści wykorzystują algorytmy AES+RSA do szyfrowania danych ofiar. FindNoteFile został znaleziony w 3 różnych wersjach. Jedyną dużą różnicą między nimi jest nazwa rozszerzenia nadawanego plikom po zaszyfrowaniu (.znajdź plik notatki, .znajdź plik notatkilub .czerwona kropka). Na przykład plik początkowo o nazwie 1.pdf zmieni swój wygląd na 1.pdf.findnotefile, 1.pdf.findthenotefilelub 1.pdf.reddot w zależności od tego, która wersja zaatakowała twój system. Następnie, gdy tylko szyfrowanie zostanie zakończone, wirus tworzy notatkę tekstową o nazwie HOW_TO_RECOVER_MY_FILES.txt, który zawiera instrukcje dotyczące okupu. Tekst napisany w środku jest pełen błędów, jednak nadal łatwo jest zrozumieć, czego cyberprzestępcy chcą od swoich ofiar.

ZATRZASNĄĆ to wirus typu ransomware, który szyfruje dane osobowe w celu zarabiania pieniędzy na zdesperowanych użytkownikach. Innymi słowy, ogranicza dostęp do danych i utrzymuje je pod blokadą, dopóki ofiary nie zapłacą określonej opłaty okupowej. Aby użytkownicy zauważyli szyfrowanie, programiści zmieniają nazwy zaatakowanych danych za pomocą rozszerzenia .zatrzasnąć rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zostanie zmieniony na 1.pdf.slam i zresetuj jego oryginalną ikonę (w niektórych przypadkach). Następnie, po zakończeniu tej części szyfrowania, SLAM otwiera okno zawierające informacje o wirusie. Czerwony tekst na czarnym tle mówi, że wszystkie pliki zostały zaszyfrowane. W celu ich odzyskania ofiary proszone są o skontaktowanie się z cyberprzestępcami za pomocą jednego z e-maili dołączonych do wiadomości. Następnie otrzymasz instrukcje niezbędne do wykonania przelewu okupu w pieniądzu. Ponadto użytkownicy są ostrzegani, że wyłączanie komputera lub korzystanie z aplikacji systemu Windows (np. regedit, menedżer zadań, wiersz poleceń itp.) jest zabronione. W przeciwnym razie komputer zostanie zablokowany i nie będzie można go uruchomić, dopóki wirus nie będzie obecny. To samo stanie się, jeśli nie skontaktujesz się z szantażystami w ciągu 12 godzin. Na tym etapie dochodzenia cyberekspertom nie udało się jeszcze znaleźć narzędzia, które zapewniłoby bezpłatne odszyfrowanie danych bez angażowania cyberprzestępców. Zapłacenie okupu jest również ryzykowne, ponieważ nie ma gwarancji, że otrzymasz swoje pliki z powrotem. Jedynym najlepszym sposobem w tej sytuacji jest usunięcie SLAM Ransomware i odzyskanie danych za pomocą kopii zapasowych. Jeśli nie masz ich utworzonych i przechowywanych w oddzielnej lokalizacji przed infekcją, odszyfrowanie plików jest prawie nierealne.

EpsilonCzerwony to kolejny wirus typu ransomware, którego celem są dane osobowe w zainfekowanych systemach. Po znalezieniu zakresu danych, których potrzebuje (zwykle są to bazy danych, statystyki, dokumenty itp.), wirus rozpoczyna szyfrowanie danych za pomocą algorytmów AES+RSA. Cały proces szyfrowania jest trudny do natychmiastowego wykrycia, ponieważ ofiary dowiadują się o infekcji dopiero po zmianie nazw wszystkich plików. Aby to zilustrować, spójrzmy na plik o nazwie 1.pdf, który w związku z tym zmienił swój wygląd na 1.pdf.epsilonred. Taka zmiana oznacza, że ​​dostęp do pliku nie jest już dozwolony. Oprócz poszukiwania poufnych danych wiadomo również, że EpsilonRed zmienia rozszerzenia plików wykonywalnych i DLL, co może uniemożliwić ich poprawne działanie. Wirus instaluje również kilka plików, które blokują warstwy ochronne, czyszczą dzienniki zdarzeń i wpływają na inne funkcje systemu Windows, gdy infekcja wkradnie się do systemu. Po zakończeniu szyfrowania EpsilonRed dostarcza instrukcje dotyczące okupu, które są prezentowane w wiadomości. Nazwa pliku może się różnić indywidualnie, ale większość użytkowników zgłaszała HOW_TO_RECOVER.EpsilonRed.txt i okup_note.txt tworzenie notatek tekstowych po zaszyfrowaniu.

gpay jest znany jako złośliwy program, który przeprowadza bezpieczne szyfrowanie przechowywanych danych przy użyciu algorytmów AES-256, RSA-2048 i CHACHA. Cyberprzestępcy zarabiają na swoim oprogramowaniu, prosząc ofiary o zapłacenie pieniędzy za odszyfrowanie danych. Zanim to zrobią, ofiary są najpierw zdezorientowane nagłymi zmianami w wyglądzie pliku. Dzieje się tak, ponieważ Gpay zmienia nazwy wszystkich zaszyfrowanych plików na rozszerzenie .gpay rozbudowa. Aby to zilustrować, plik taki jak 1.pdf zostanie zmieniony na 1.pdf.gpay po zakończeniu szyfrowania. Po zauważeniu tej zmiany ofiary znajdą również plik o nazwie !!!HOW_TO_DECRYPT!!!.mht we wszystkich zainfekowanych folderach. Plik prowadzi do strony internetowej wyświetlającej instrukcje dotyczące okupu. Mówi się, że możesz wysłać do 3 plików, aby przetestować ich możliwości deszyfrowania za darmo. Można to zrobić, wysyłając swoje pliki z osobistym identyfikatorem na adresy e-mail gsupp@jitjat.org i gdata@msgden.com. To samo należy zrobić, aby zażądać adresu płatności i kupić narzędzia deszyfrujące. Jeśli nie zrobisz tego w ciągu 72 godzin, cyberprzestępcy z większym prawdopodobieństwem opublikują przechwycone dane na platformach związanych z darknetem. Dlatego uwięzienie przez Gpay jest niezwykle niebezpieczne, ponieważ istnieje ogromne zagrożenie prywatności. W zależności od tego, jaka będzie cena odszyfrowania danych, ofiary mogą zdecydować, czy tego potrzebują, czy nie.

Wydobyte na światło dzienne przez MalwareHunterTeam, Darkside to złośliwy program, który szyfruje cenne dane, aby żądać pieniędzy od ofiar. Wszystkie powiązane sieci z danymi, które zostały narażone na działanie tego wirusa, zostaną przeskanowane i zablokowane przed regularnym dostępem. Podobnie jak inne infekcje ransomware, DarkSide dołącza unikalne rozszerzenie na końcu każdego zaszyfrowanego pliku. Mówiąc dokładniej, dołącza losowo wygenerowany osobisty identyfikator każdej z ofiar. Aby to zilustrować, jest bardziej prawdopodobne, że Twoje pliki zmienią się z 1.xlsx do 1.xlsx.d0ac7d95, lub podobnie w zależności od tego, jaki identyfikator został Ci przypisany. Następnie, zaraz po zakończeniu tej części procesu, cyberprzestępcy tworzą notatkę tekstową z instrukcjami odszyfrowywania (README.[identyfikator_ofiary].TXT).

Opracowany przez Makop Ransomware rodzina, mamona to niebezpieczny wirus, który szyfruje dane w celach pieniężnych. Dzieje się tak dlatego, że szyfruje dane osobowe za pomocą algorytmów klasy wojskowej i żąda zapłaty okupu od ofiar. Aby pokazać, że Twoje dane zostały ograniczone, szantażyści dołączają do nazwy każdego pliku ciąg symboli (w tym losowe znaki, adres e-mail cyberprzestępców i .mamona rozbudowa). Aby to zilustrować, oryginalny plik, taki jak 1.pdf zmieni swój wygląd na coś takiego 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon. W wyniku tej zmiany użytkownicy nie będą już mogli uzyskać dostępu do pliku. Aby uzyskać instrukcje dotyczące odzyskiwania danych, cyberprzestępcy tworzą notatkę tekstową o nazwie plik readme-warning.txt do każdego folderu z zaszyfrowanymi danymi.

Bycie częścią Phobos Ransomware rodzina, Łysy to kolejny złośliwy program, który szyfruje dane osobowe. Sposób, w jaki to robi, polega na użyciu algorytmów klasy wojskowej do szyfrowania plików. Wraz z tym wirus przypisuje również ciąg symboli do każdego z plików. Obejmuje to osobisty identyfikator ofiar, adres e-mail cyberprzestępców i Calvo rozszerzenie, aby zakończyć ciąg. Na przykład plik podobny do 1.pdf zostanie zainfekowany i zmieniony na 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo. Ta sama zmiana dotyczy pozostałych danych przechowywanych na komputerze. Jak tylko ta część infekcji dobiegnie końca, Calvo tworzy dwa żądania okupu (info.hta i info.txt), aby poprowadzić Cię przez proces odszyfrowywania.

Opracowany przez Phobos rodzina, XHAMSTER to infekcja typu ransomware, która uruchamia szyfrowanie danych. Takie nie wykonuje szyfrowania jednokierunkowego, zamiast tego oferuje odblokowanie zainfekowanych danych w zamian za okup pieniężny. Jeśli chodzi o szyfrowanie danych, cyberprzestępcy są zwykle jedynymi postaciami, które mogą odblokować twoje dane. Dlatego oferują zakup oprogramowania, które pomoże odzyskać dostęp do danych. Zanim zagłębimy się w szczegóły, ważne jest, abyśmy wspomnieli, w jaki sposób XHAMSTER szyfruje Twoje dane. Oprócz blokowania dostępu dołącza również ciąg symboli składający się z identyfikatora ofiary, nazwy użytkownika ICQ Messenger oraz .XHAMSTER rozszerzenie na końcu każdego pliku. Aby to zilustrować, fragment danych, taki jak 1.pdf zmieni się na coś takiego 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER na koniec szyfrowania. Wreszcie, po zakończeniu tego procesu, wirus zaczyna tworzyć dwa pliki zawierające instrukcje dotyczące okupu. Podczas gdy jeden z nich dzwonił info.hta jest wyświetlane jako okno tuż przed użytkownikami, drugie nazwane info.txt znajduje się na pulpicie ofiary.