Ransomware

GREEDYFATHER — это разновидность программы-вымогателя, вредоносного программного обеспечения, которое шифрует данные на компьютере жертвы и требует выкуп за их расшифровку. В этой статье будет дано полное представление о программе-вымогателе GREEDYFATHER, ее методах заражения, добавляемых расширениях файлов, используемом шифровании, создаваемой ею записке о выкупе, а также потенциальных инструментах и ​​методах расшифровки. Программа-вымогатель GREEDYFATHER добавляет .GREEDYFATHER расширение имен зашифрованных файлов. Например, файл с именем 1.jpg будет переименован в 1.jpg.GREEDYFATHER. Конкретный алгоритм шифрования, используемый программой-вымогателем GREEDYFATHER, явно не упоминается в результатах поиска. Однако программы-вымогатели обычно используют надежные алгоритмы шифрования, такие как AES (расширенный стандарт шифрования) или RSA (Ривест-Шамир-Адлеман), для шифрования файлов. Эти методы шифрования практически невозможно взломать без правильного ключа дешифрования. После шифрования файлов GREEDYFATHER создает записку о выкупе с именем GREEDYFATHER.txt в каждом каталоге, содержащем зашифрованные файлы. В записке жертву заверяют, что зашифрованные файлы можно восстановить, и предписывается отправить злоумышленникам пару заблокированных файлов для тестовой расшифровки. Он также предостерегает от использования бесплатных инструментов расшифровки.

Ljaz Ransomware — это тип вредоносного программного обеспечения, которое шифрует файлы на компьютере жертвы, делая их недоступными. Затем злоумышленники требуют выкуп, часто в виде криптовалюты, в обмен на предоставление ключа или инструмента дешифрования, необходимого для разблокировки зашифрованных файлов. Ljaz Ransomware добавляет .ljaz расширение файла для зашифрованных файлов. Ljaz Ransomware создает записку о выкупе в текстовом файле с именем _readme.txt. Эта записка обычно содержит инструкции о том, как заплатить выкуп, чтобы получить ключ или инструмент дешифрования. Семейство программ-вымогателей STOP/Djvu использует алгоритм шифрования Salsa20 для шифрования файлов жертвы. Он также использует шифрование RSA, которое является одним из наиболее часто используемых методов шифрования группами вымогателей. Программа-вымогатель начинает свою цепочку выполнения с нескольких уровней обфускации, призванных замедлить анализ ее кода аналитиками угроз и автоматическими песочницами.

Ljuy Ransomware — это тип вредоносного ПО, принадлежащий семейству Djvu. Он предназначен для проникновения в компьютерную систему, шифрования файлов, а затем требования выкупа за расшифровку этих файлов. Программа-вымогатель использует надежный алгоритм шифрования, известный как Salsa20, который распространен среди всех других членов семейства программ-вымогателей STOP/Djvu. Попав в систему, программа-вымогатель Ljuy шифрует файлы и добавляет к ним расширение (.ljuy) к именам файлов. Например, он меняет 1.jpg в 1.jpg.ljuy, 2.png в 2.png.ljuy, и так далее. Программа-вымогатель Ljuy создает текстовый файл с именем _readme.txt, который служит запиской о выкупе. В этой заметке содержится информация об оплате и контактная информация. Он сообщает жертве, что ее файлы, включая изображения, базы данных, документы и другие важные данные, были зашифрованы с использованием надежного алгоритма и могут быть восстановлены только путем покупки инструмента расшифровки.

BuLock Ransomware — это тип вредоносного программного обеспечения или малварь, которое шифрует файлы на компьютере или в сети жертвы, делая их недоступными. Затем злоумышленники требуют от жертвы выкуп в обмен на ключ дешифрования, позволяющий разблокировать файлы. Программа-вымогатель также известна как криптовирус или блокировщик файлов из-за своих возможностей шифрования. BuLock Ransomware добавляет .bulock16 расширение к файлам, которые он шифрует. Цифра в расширении может отличаться в зависимости от варианта программы-вымогателя. BuLock Ransomware использует комбинацию криптографических алгоритмов RSA и AES для шифрования файлов. Это надежные методы шифрования, которые затрудняют расшифровку файлов без специального ключа дешифрования. BuLock Ransomware создает записку о выкупе с именем HOW_TO_BACK_FILES.html. Эта заметка информирует жертву о том, что ее сеть взломана, а файлы зашифрованы. Он также предупреждает, что злоумышленники похитили из сети конфиденциальные данные, которые они угрожают продать или слить в сеть, если выкуп не будет выплачен. Записка также предлагает жертве возможность проверить расшифровку 2-3 файлов, прежде чем платить выкуп.

Hhaz Ransomware — это тип вредоносного программного обеспечения, которое шифрует данные пользователя, делая их недоступными. Это вариант, связанный с семейством программ-вымогателей Djvu. Программа-вымогатель изменяет имена файлов, добавляя .hhaz расширение и создает текстовый файл с именем _readme.txt который включает в себя записку о выкупе. Например, он преобразует 1.jpg в 1.jpg.hhaz, 2.png в 2.png.hhaz, и так далее. Программа-вымогатель Hhaz использует алгоритм шифрования Salsa20. Если Hhaz не может установить соединение со своим сервером до начала процесса шифрования, он использует автономный ключ. Этот ключ одинаков для всех жертв, что потенциально позволит в будущем расшифровать файлы .hhaz. Записка о выкупе гарантирует целевому лицу, что его заблокированные файлы могут быть восстановлены путем приобретения инструмента расшифровки и определенного ключа. Стоимость расшифровки данных установлена ​​в размере 980 долларов США со скидкой 50%, если жертвы обратятся к злоумышленникам в течение 72 часов. В примечании подчеркивается абсолютная невозможность восстановления данных без внесения оговоренной оплаты.

Hhuy Ransomware представляет собой вариант пресловутого семейства программ-вымогателей STOP/DJVU. Он шифрует изображения, документы и другие важные файлы на зараженных компьютерах, делая их недоступными. Затем программа-вымогатель требует выкуп, обычно от 490 до 980 долларов США, выплачиваемый в биткойнах, за расшифровку файлов. Программа-вымогатель Hhuy нацелена на широкий спектр расширений файлов, включая, помимо прочего, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .pdf и .psd. После того как файл зашифрован, программа-вымогатель добавляет .hhuy расширение имени файла, что делает его невозможным для открытия любой программой. Программа-вымогатель Hhuy использует алгоритм шифрования Salsa20. Хотя это и не самый надежный метод, он все же предоставляет огромное количество возможных ключей дешифрования, что делает атаки методом перебора практически невозможными при использовании современных вычислительных технологий. После успешного шифрования программа-вымогатель Hhuy создает записку о выкупе с именем _readme.txt. Эта записка обычно содержит инструкции о том, как заплатить выкуп, а также контактную информацию злоумышленников, обычно в виде адресов электронной почты.

Nbwr Ransomware — это тип вредоносного ПО, шифрующего файлы, принадлежащего семейству Djvu. Это вредоносное программное обеспечение, которое шифрует пользовательские данные, делая их недоступными. Программа-вымогатель изменяет имена файлов, добавляя .nbwr расширение и генерирует текстовый файл (_readme.txt), содержащий записку о выкупе. В записке о выкупе жертва уверяется, что ее зашифрованные файлы можно восстановить, купив инструмент расшифровки и уникальный ключ. Цена расшифровки данных обычно высока: предоставляется скидка 50%, если с субъектами угрозы свяжутся в течение 72 часов. Программа-вымогатель Nbwr использует алгоритм шифрования Salsa20. Этот метод предоставляет огромное количество возможных ключей дешифрования, что делает атаки методом перебора практически невозможными. В записке о выкупе жертва уверяется, что ее зашифрованные файлы можно восстановить, купив инструмент расшифровки и уникальный ключ.

GrafGrafel — это тип программы-вымогателя, вредоносного программного обеспечения, которое шифрует данные и требует выкуп за их расшифровку. Это часть семейства программ-вымогателей Phobos. Программа-вымогатель GrafGrafel нацелена как на локальные, так и на общие сетевые файлы, не затрагивая критические системные файлы. Как только программа-вымогатель GrafGrafel заражает компьютер, она шифрует файлы и изменяет их имена. К исходным заголовкам добавляется уникальный идентификатор, присвоенный жертве, адрес электронной почты киберпреступников и адрес электронной почты. .GrafGrafel расширение. Например, файл, первоначально названный 1.jpg будет выглядеть как 1.jpg.id[G7RF34WQE-5687].[GrafGrafel@tutanota.com].GrafGrafel следующее шифрование. Конкретный алгоритм шифрования, используемый программой-вымогателем GrafGrafel, пока неизвестен. Однако программы-вымогатели обычно используют надежные алгоритмы шифрования, которые можно разблокировать только с помощью кода дешифрования, известного только злоумышленнику. После завершения процесса шифрования программа-вымогатель GrafGrafel создает всплывающее окно с требованием выкупа (info.hta) и текстовые файлы (info.txt). Эти заметки размещаются в зашифрованных каталогах и на рабочем столе.