Ransomware

Программа-вымогатель BlackDream — разновидность вредоносного ПО, которое шифрует данные на компьютере жертвы и требует плату за их расшифровку. Он был обнаружен исследователями при расследовании новых вредоносных программ, отправленных на VirusTotal. Программа-вымогатель добавляет уникальный идентификатор, адрес электронной почты киберпреступников и .BlackDream расширение имен зашифрованных файлов. Например, файл с первоначальным названием 1.jpg будет выглядеть как 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. После завершения процесса шифрования появится записка о выкупе под названием ReadME-Decrypt.txt сбрасывается. Программа-вымогатель BlackDream использует неуказанный метод шифрования файлов. Записка заверяет жертву, что ее файлы не были повреждены, но зашифрованы. Он предупреждает, что обращение за помощью в восстановлении за пределами злоумышленников (т. е. с использованием сторонних инструментов или служб) может сделать данные нерасшифрованными. В примечании подразумевается, что для расшифровки потребуется заплатить выкуп в криптовалюте Bitcoin, хотя точная сумма не указана.

Zput — это тип программы-вымогателя, принадлежащий к семейству программ-вымогателей Djvu. Это вредоносная программа, предназначенная для шифрования файлов и требования выкупа за их расшифровку. Программа-вымогатель Zput нацелена на различные типы файлов, такие как видео, фотографии, документы и многое другое. Он изменяет структуру файла и добавляет .zput расширение каждого файла, что делает их недоступными и непригодными для использования без расшифровки. Например, файл с первоначальным названием 1.jpg отображается как 1.jpg.zput, 2.png, так как 2.png.zput, и так далее. Zput Ransomware использует алгоритмы шифрования Salsa20 для шифрования содержимого целевых файлов. Этот надежный метод шифрования делает весьма трудным, если не невозможным, подбор ключа дешифрования без сотрудничества с злоумышленниками. После шифрования файлов программа-вымогатель Zput оставляет записку с требованием выкупа под названием _readme.txt. Эта записка информирует жертву о том, что ее данные зашифрованы и что для восстановления заблокированных файлов необходимо выполнить требования злоумышленников – заплатить выкуп за получение ключа/программного обеспечения дешифрования.

Zpww Ransomware — это тип вредоносного ПО, принадлежащий семейству STOP/Djvu. Его основная цель — вымогать деньги у жертв, шифруя их файлы и требуя выкуп за их расшифровку. Выкуп обычно составляет от 490 до 980 долларов США и выплачивается в биткойнах. После успешного проникновения Zpww Ransomware сканирует каждую папку на наличие файлов, которые можно зашифровать. Затем он создает копию целевого файла, удаляет оригинал, шифрует копию и оставляет ее вместо удаленного оригинала. Зашифрованные файлы добавляются с определенным расширением. .zpww. Программа-вымогатель использует алгоритм шифрования Salsa20, который, хотя и не самый надежный метод, тем не менее предоставляет огромное количество возможных ключей расшифровки. После процесса шифрования Zpww Ransomware создает записку о выкупе с именем _readme.txt в папке, где находится зашифрованный файл.

Zpas — это программа-вымогатель, шифрующая файлы, принадлежащая к семейству программ-вымогателей STOP/DJVU. Он ограничивает доступ к таким данным, как документы, изображения и видео, путем шифрования файлов с помощью .zpas расширение. Затем программа-вымогатель пытается вымогать деньги у жертв, требуя «выкуп», обычно в виде криптовалюты Биткойн, в обмен на доступ к данным. Когда компьютер заражен программой-вымогателем Zpas, он сканирует систему на наличие изображений, видео и важных рабочих документов и файлов, таких как .doc, .docx, .xls, .pdf. При обнаружении этих файлов программа-вымогатель шифрует их и меняет расширение, делая их недоступными. Вымогатель Zpas использует надежный шифр Salsa20, который невозможно «взломать». После того как программа-вымогатель Zpas зашифровала файлы на компьютере, она отображает записку с требованием выкупа под названием _readme.txt на рабочем столе. В записке о выкупе содержатся инструкции о том, как связаться с авторами этой программы-вымогателя по адресам электронной почты support@fishmail.top и datarestorehelp@airmail.cc. Жертв этого вируса-вымогателя просят связаться с разработчиками вредоносного ПО. Требуемый выкуп варьируется от 490 до 980 долларов США (в биткойнах).

Halo Ransomware — это тип вредоносного ПО, предназначенный для шифрования данных и требования выкупа за расшифровку. Он добавляет .halo расширение к именам зашифрованных файлов. Например, файл с первоначальным названием 1.jpg будет выглядеть как 1.jpg.halo. После шифрования файлов Halo Ransomware создает сообщение с требованием выкупа под названием !_INFO.txt. В записке говорится, что файлы жертвы зашифрованы и их можно восстановить только заплатив выкуп. В примечании предостерегается от выключения системы, переименования файлов, попыток расшифровки вручную или использования сторонних инструментов восстановления, поскольку эти действия могут сделать данные нерасшифрованными. Конкретный алгоритм шифрования файлов, используемый Halo Ransomware, неизвестен. Однако программы-вымогатели обычно используют симметричные или асимметричные криптографические алгоритмы для шифрования файлов.

Keylock Ransomware — это тип вредоносного программного обеспечения, которое шифрует файлы на компьютере жертвы и добавляет .keylock расширение к именам файлов. Например, файл с первоначальным названием 1.jpg будет выглядеть как 1.jpg.keylock после шифрования. После завершения процесса шифрования Keylock создает сообщение с требованием выкупа под названием README-id-[имя пользователя].txt (имя файла зависит от имени пользователя). В записке о выкупе содержатся инструкции о том, как заплатить выкуп, обычно в биткойнах, чтобы получить ключ дешифрования и восстановить доступ к зашифрованным файлам. Программа-вымогатель Keylock использует шифрование AES, симметричный алгоритм шифрования, для быстрого шифрования файлов. В записке о выкупе предостерегается от переименования, изменения или удаления зашифрованных файлов, попыток расшифровки вручную или использования стороннего программного обеспечения для восстановления или антивирусных инструментов, поскольку эти действия могут привести к безвозвратной потере данных.

Itqw Ransomware — это вредоносное программное обеспечение, принадлежащее семейству программ-вымогателей STOP/Djvu. Он нацелен на различные типы файлов, такие как видео, фотографии, документы и т. д., шифруя их и делая недоступными. Программа-вымогатель Itqw шифрует файлы, используя надежный алгоритм шифрования и уникальный ключ. Программа-вымогатель добавляет отдельное .itqw расширение для каждого зашифрованного файла и требует выкуп, обычно в виде криптовалюты Биткойн, чтобы предположительно разблокировать файлы. Сумма выкупа может варьироваться в зависимости от конкретного варианта программы-вымогателя Itqw. Itqw Ransomware создает записку о выкупе, файл с именем _readme.txt, в котором содержится инструкция, как связаться с злоумышленниками и заплатить выкуп. Сумма выкупа колеблется от 490 до 980 долларов в биткойнах.

Ithh Ransomware представляет собой вариант семейства программ-вымогателей Djvu, который шифрует файлы на компьютере жертвы и добавляет .ithh расширение имен файлов. Например, меняется 1.jpg в 1.jpg.ithh и 2.png в 2.png.ithh. После шифрования файлов Ithh Ransomware генерирует записку о выкупе в файле с именем _readme.txt. Злоумышленники требуют выкуп, обычно в криптовалюте, чтобы предоставить ключ дешифрования для восстановления доступа к зашифрованным файлам. Однако платить выкуп настоятельно не рекомендуется, поскольку нет никакой гарантии, что злоумышленники предоставят инструменты расшифровки. Записка о выкупе Ithh — это сообщение, оставленное злоумышленниками Ithh Ransomware после шифрования файлов жертвы. Записка обычно содержит информацию об атаке программы-вымогателя и инструкции о том, как заплатить выкуп (490 или 980 долларов США в криптовалюте).