Ransomware

Программы-вымогатели остаются серьезной угрозой в киберпространстве. Frea Ransomware это недавний пример, который привлек внимание экспертов по кибербезопасности. В этой статье подробно рассматривается программа-вымогатель Frea, изучается ее тактика заражения, изменения, которые она вносит в файлы, методы шифрования, которые она использует, записка с требованием выкупа, которую она оставляет, доступность инструментов расшифровки и потенциальные методы расшифровки затронутых файлов. . После заражения программа-вымогатель Frea начинает шифровать файлы во всей системе. Он нацелен на различные типы файлов, включая документы, изображения и базы данных. После шифрования этих файлов Фреа добавляет .frea расширение имен файлов, сигнализирующее о том, что они были скомпрометированы. Например, файл с первоначальным названием 1.jpg будет переименован в 1.jpg.frea после шифрования. Программа-вымогатель Frea создает записку с требованием выкупа под названием oku.txt который остается на рабочем столе пользователя или в папках, содержащих зашифрованные файлы. Эта записка содержит инструкции злоумышленников, которые обычно требуют уплаты выкупа в обмен на ключ дешифрования, необходимый для разблокировки файлов. Помимо шифрования файлов и отправки записки о выкупе, Фреа также меняет обои рабочего стола, что является обычной тактикой, используемой программами-вымогателями, чтобы предупредить жертву о заражении и подчеркнуть срочность требования выкупа.

Dzen Ransomware — это вариант вредоносного программного обеспечения, подпадающий под категорию криптовирусов. Основная функция программы-вымогателя — проникновение в компьютерные системы, шифрование файлов и требование выкупа от жертвы в обмен на ключ дешифрования. Кибератаки такого типа могут иметь разрушительные последствия как для отдельных лиц, так и для организаций, приводя к потере данных и финансовому ущербу. После успешного проникновения Dzen Ransomware приступает к шифрованию файлов на зараженном компьютере. Он использует надежный алгоритм шифрования для блокировки файлов, делая их недоступными для пользователя. Программа-вымогатель добавляет уникальное расширение .dzen к именам всех зашифрованных файлов, которые обычно включают идентификатор жертвы. Например, файл с первоначальным названием document.docx может быть переименован в document.docx.[victim's_ID].[vinsulan@tutamail.com].dzen после шифрования. Dzen Ransomware создает записку о выкупе, которая информирует жертву о шифровании и дает инструкции, как действовать. Записка о выкупе обычно называется info.txt or info.hta и размещается на рабочем столе или в папках, содержащих зашифрованные файлы. В примечании уточняется, что данные жертвы зашифрованы и могут быть разблокированы только с помощью ключа дешифрования, который злоумышленники утверждают, что предоставят его после выплаты выкупа. В примечании также может содержаться контактная информация киберпреступников и инструкции по оплате, обычно требующие оплаты в криптовалютах, таких как биткойны.

REDCryptoApp Ransomware — это тип вредоносного программного обеспечения, подпадающий под категорию программ-вымогателей. Этот конкретный штамм программ-вымогателей предназначен для проникновения в компьютерные системы, шифрования файлов и требования выкупа от жертвы в обмен на ключ дешифрования. В следующих разделах представлен подробный анализ программы-вымогателя REDCryptoApp, методов ее заражения, расширений файлов, механизмов шифрования, примечаний о выкупе, доступных инструментов расшифровки и методов расшифровки затронутых файлов. При заражении REDCryptoApp Ransomware сканирует систему на наличие файлов для шифрования. Он предназначен для широкого спектра типов файлов, включая документы, изображения, видео и базы данных. После шифрования файлов программа-вымогатель добавляет к исходным именам файлов определенное расширение, которое часто является уникальным идентификатором варианта программы-вымогателя, например: .REDCryptoApp. Шифрование, используемое REDCryptoApp Ransomware, обычно представляет собой комбинацию симметричных и асимметричных алгоритмов. Симметричное шифрование, такое как AES, используется для массового шифрования файлов из-за его эффективности. Асимметричное шифрование, такое как RSA, используется для шифрования симметричных ключей, гарантируя, что только злоумышленник имеет доступ к закрытому ключу, необходимому для расшифровки. Программа-вымогатель REDCryptoApp создает записку о выкупе, в которой жертве предоставляются инструкции о том, как заплатить выкуп и получить ключ дешифрования. Эта заметка обычно представляет собой текстовый файл с именем типа HOW_TO_RESTORE_FILES.REDCryptoApp.txtи размещается на рабочем столе или в папках, содержащих зашифрованные файлы. В примечании обычно указывается сумма выкупа, которую часто требуют в криптовалютах, таких как Биткойн, и инструкции о том, как произвести платеж.

ELITTE87 Ransomware — это вариант криптовируса, относящегося к семейству Фобос, известный своими разрушительными способностями. Проникнув в систему, он шифрует файлы, делая их недоступными для пользователя. Помимо шифрования, ELITTE87 предпринимает дополнительные вредоносные действия, такие как отключение брандмауэра и удаление теневых копий томов. Последнее вызывает особое беспокойство, поскольку предотвращает возможность восстановления зашифрованных файлов с помощью встроенных функций резервного копирования Windows. Эта программа-вымогатель изменяет имена файлов, добавляя идентификатор жертвы, адрес электронной почты и имя файла .ELITTE87 расширение для каждого зашифрованного файла. Например, файл с именем sample.jpg будет переименован в sample.jpg.id[random-id].[helpdata@zohomail.eu].ELITTE87. Программы-вымогатели этого типа обычно используют комбинацию симметричных и асимметричных алгоритмов шифрования для защиты файлов, что делает их недоступными без уникального ключа дешифрования, которым располагают злоумышленники. Программа-вымогатель ELITTE87 генерирует две записки с требованием выкупа: одна отображается во всплывающем окне, а другая представляет собой текстовый файл с именем info.txt создается в каждом каталоге, содержащем зашифрованные файлы. В записке о выкупе жертвам сообщается, что их данные были зашифрованы и загружены, а расшифровка возможна только с помощью программного обеспечения киберпреступников. Он предостерегает от попыток расшифровать данные самостоятельно или с помощью стороннего программного обеспечения, поскольку это может привести к безвозвратной потере данных. В примечании также не рекомендуется обращаться за помощью к компаниям-посредникам или компаниям по восстановлению данных, предполагая, что это может привести к дальнейшей потере данных или обману.

SatanCD Ransomware — это вредоносная программа, отнесенная к категории программ-вымогателей, основанная на семействе программ-вымогателей Chaos. Эта вредоносная программа предназначена для шифрования файлов на зараженном компьютере, делая их недоступными для пользователя, а затем требует оплаты за их расшифровку. При заражении компьютера satanCD изменяет имена зашифрованных файлов, добавляя расширение, состоящее из четырех случайных символов. Например, файл с именем 1.jpg может быть переименован в 1.jpg.563lкачества 2.png в 2.png.a7vb. Такая схема переименования позволяет легко идентифицировать файлы, зашифрованные данным конкретным вирусом-вымогателем. Хотя точные алгоритмы шифрования, используемые satanCD, не были указаны в источнике, эта программа-вымогатель предполагает использование надежных методов шифрования, что, вероятно, делает несанкционированное дешифрование без ключа дешифрования чрезвычайно трудным, если не невозможным. После шифрования файлов satanCD меняет обои рабочего стола и создает записку с требованием выкупа под названием read_it.txt. Это примечание информирует жертву о том, что ее файлы зашифрованы и что единственный способ их расшифровать — получить у злоумышленников программное обеспечение для дешифрования. В записке, вероятно, содержатся инструкции о том, как заплатить выкуп и связаться с злоумышленниками.

Napoli Ransomware — это тип вредоносного программного обеспечения, подпадающего под категорию программ-вымогателей, предназначенных для шифрования данных на компьютере жертвы, что делает файлы недоступными. Затем злоумышленники требуют выкуп, обычно в криптовалюте, за ключ дешифрования, который позволит жертве восстановить доступ к своим файлам. При заражении Napoli Ransomware шифрует файлы на компьютере жертвы и добавляет к зашифрованным файлам определенное расширение. Было замечено, что программа-вымогатель использует .napoli расширение, указывающее, что файл зашифрован и больше не доступен в исходном виде. Метод шифрования, используемый Napoli Ransomware, не указан в предоставленных результатах поиска. Однако программы-вымогатели обычно используют надежные алгоритмы шифрования, такие как AES или RSA, чтобы гарантировать, что зашифрованные файлы невозможно будет легко расшифровать без соответствующего ключа дешифрования. После шифрования файлов Napoli Ransomware создает записку о выкупе, в которой жертве предоставляются инструкции о том, как заплатить выкуп и получить ключ дешифрования. Записка о выкупе обычно представляет собой текстовый файл с именем read_it.txtи размещается на рабочем столе или в папках, содержащих зашифрованные файлы. Кроме того, программа-вымогатель может изменить обои рабочего стола, чтобы отобразить сообщение с требованием выкупа.

MarioLocker — это вредоносное программное обеспечение, отнесенное к категории программ-вымогателей, тип вредоносного ПО, которое шифрует файлы жертв, делая их недоступными. Основная цель злоумышленников-вымогателей — потребовать от жертв выкуп, обычно в обмен на ключ дешифрования, необходимый для разблокировки зашифрованных файлов. MarioLocker Ransomware добавляет уникальное расширение к зашифрованным файлам. Он переименовывает файлы, добавляя .wasted расширение, за которым следует порядковый номер, например .wasted1, .wasted2, и так далее. Такое соглашение о переименовании служит четким индикатором присутствия программы-вымогателя в системе. Записка с требованием выкупа является важным компонентом стратегии программы-вымогателя, предоставляя жертвам инструкции о том, как действовать. MarioLocker создает текстовый файл с именем @Readme.txt, который содержит сообщение о выкупе. Этот файл обычно размещается в тех же каталогах, что и зашифрованные файлы, или на видном месте, например на рабочем столе. В записке жертвам предлагается открыть файл с именем «WastedBitDecryptor» и выполнить действия, описанные в нем. Кроме того, он направляет жертв к файлу с именем YourFiles.txt находится в каталоге «C:\Windows\Temp», который содержит список зашифрованных файлов.

RTM Locker Ransomware, также известный как Read The Manual Locker, стал серьезной угрозой в сфере кибербезопасности. Это вредоносное программное обеспечение является частью модели «Вымогатели как услуга» (RaaS), в которой с аффилированных лиц взимается процент от их прибыли за использование инфраструктуры RTM Locker для запуска своих атак. Эта модель способствовала распространению RTM Locker, что сделало его широко распространенной угрозой как для отдельных лиц, так и для организаций. При заражении RTM Locker добавляет к именам всех зашифрованных файлов уникальное 64-значное расширение, делая их недоступными для пользователей. Это расширение представляет собой комбинацию случайных символов, существенно усложняющую идентификацию и восстановление поврежденных файлов. Метод шифрования, используемый RTM Locker, включает комбинацию асимметричного и симметричного шифрования, что делает практически невозможным расшифровку файлов без закрытого ключа злоумышленника. RTM Locker отправляет записку о выкупе под названием How To Restore Your Files.txt на рабочем столе жертвы. Эта записка информирует жертв о шифровании и требует связаться с ними в течение 48 часов, чтобы предотвратить публичную публикацию зашифрованных данных. В примечании предостерегается от попыток самостоятельной расшифровки файлов, поскольку это может привести к безвозвратной потере данных.