Ransomware

Weon Ransomware одна из новейших версий, разработанных STOP (Djvu) семейством. Впервые он был обнаружен в конце мая 2023 года. Этот вымогатель нацелен на различные типы личных данных (например, изображения, видео, документы и т. д.) с использованием онлайн-ключей, случайно сгенерированных для каждой жертвы. Как только они применяются и данные становятся зашифрованными, пользователи больше не могут получать к ним доступ и взаимодействовать с ними. В процессе шифрования всем файлам присваивается .weon расширение. Это означает, что файлы изменят свое имя и сбросят свои значки. Например, файл типа 1.pdf изменится на 1.pdf.weon и потеряет свой первоначальный значок в конце шифрования. Затем, как и в других последних версиях семейства STOP (Djvu), Weon создает текстовую заметку под названием _readme.txt который содержит инструкции по расшифровке. Независимо от того, какой из них был сброшен на ваш компьютер, все они отображают одинаковую информацию.

Jigsaw Ransomware широко распространенное семейство программ-вымогателей. Программа-вымогатель предназначена для шифрования файлов на компьютере жертвы, делая их недоступными, а затем требует выкуп в обмен на ключ дешифрования, необходимый для восстановления файлов. Программа-вымогатель Jigsaw привлекла к себе внимание в апреле 2016 года, когда она была впервые обнаружена. Он был назван в честь культового персонажа из фильма «Пила» из-за использования изображения этого персонажа в качестве логотипа. Jigsaw Ransomware нацелен на системы на базе Windows и распространяется различными способами, такими как вредоносные вложения электронной почты, зараженные загрузки или наборы эксплойтов. Как только компьютер заражен Jigsaw Ransomware, он начинает шифровать файлы в системе, включая документы, изображения, видео и другие важные данные. Затем он отображает записку о выкупе на экране жертвы, требуя оплаты, обычно в биткойнах, в течение определенного периода времени. Если жертва не заплатит выкуп в течение заданного времени, Jigsaw Ransomware угрожает удалить часть зашифрованных файлов в качестве наказания. Он также отображает таймер обратного отсчета, добавляя психологический элемент срочности.

Alphaware Ransomware, вредоносная программа, использует сложную комбинацию алгоритмов для шифрования ценных данных своих жертв. После успешного шифрования файлов эта программа-вымогатель раскрывает свое первоначальное имя Alphaware в примечании, а сам связанный файл помечен как Alphaware.exe. Виновные в этой коварной угрозе называют себя группой хакеров «Альфа». Их метод работы включает требование выкупа в размере 300 долларов США в BTC (биткойнах) в обмен на ключ дешифрования, который необходим для восстановления скомпрометированных файлов до их исходного состояния. Программа-вымогатель Alphaware, впервые появившаяся примерно в середине мая 2023 года, в первую очередь нацелена на англоязычных пользователей, но может заражать системы по всему миру. Зараженные файлы претерпевают изменения в их соглашениях об именах или кодировке, что сопровождается добавлением .Alphaware расширение. Требование о выкупе доставляется через файл с именем readme.txt.

Новое поколение STOP Ransomware (Djvu Ransomware) начало добавлять .vatq расширения зашифрованных файлов с конца мая 2023 года. Напоминаем, что Vatq Ransomware относится к семейству криптовирусов, вымогающих деньги в обмен на расшифровку данных. Последние примеры программ-вымогателей STOP иногда относят к категории программ-вымогателей Djvu, поскольку они используют почти идентичные шаблоны заметок о выкупе с начала 2019 года, когда .djvu расширения добавлялись. Vatq Ransomware использует те же адреса электронной почты, что и в последних десятках версий: support@freshmail.top и datarestorehelp@airmail.cc. Полная расшифровка возможна только в 1-2% случаев, когда использовался автономный ключ шифрования (с помощью STOP Djvu Decryptor). В остальных случаях воспользуйтесь инструкциями и инструментами, предложенными в этой статье. Программа-вымогатель Vatq создает _readme.txt файл с запиской о выкупе, который выглядит почти так же.

FAST Ransomware — это тип вредоносного ПО, которое наша исследовательская группа недавно обнаружила при изучении сообщений на веб-сайте VirusTotal. Эта конкретная вредоносная программа классифицируется как программа-вымогатель, а это означает, что она предназначена для шифрования данных на компьютере жертвы и требования выкупа в обмен на их расшифровку. Когда мы протестировали программу-вымогатель на нашей собственной машине, мы заметили, что она шифрует файлы и изменяет их имена. Исходные названия файлов были изменены путем добавления адреса электронной почты киберпреступников, уникального идентификатора жертвы и .FAST расширение. Например, файл с именем sample.pdf будет выглядеть как sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST после шифрования. После завершения процесса шифрования программа-вымогатель FAST сбросила записку с требованием выкупа под названием #FILEENCRYPTED.txt на рабочий стол жертвы.

EXISC — это вредоносное ПО, известное как программа-вымогатель, которое привлекло наше внимание в ходе нашего расследования. Его основная цель — шифровать данные и требовать оплаты в обмен на ключ дешифрования. Запустив образец этой программы-вымогателя в нашей тестовой системе, мы заметили, что она шифрует файлы и добавляет .EXISC расширение их исходных имен файлов. Например, файл с именем sample.pdf будет выглядеть как sample.pdf.EXISC. Программа-вымогатель также создала записку с требованием выкупа под названием Please Contact Us To Restore.txt. На основе сообщения, содержащегося в заметке, стало очевидно, что EXISC в первую очередь нацелен на крупные организации, а не на отдельных домашних пользователей. Жертвы часто не получают обещанных ключей или программного обеспечения для расшифровки даже после выполнения требований о выкупе. Поэтому мы настоятельно не рекомендуем платить выкуп, так как он не гарантирует восстановление данных и только увековечивает преступную деятельность.

Vaze Ransomware (также известный как STOP Ransomware or Djvu Ransomware) - широко распространенный вирус-вымогатель для шифрования файлов. Это один из самых опасных программ-вымогателей с высоким уровнем вредоносности и распространенности. Он использует алгоритм шифрования AES-256 в режиме CFB с нулевым IV и одним 32-байтовым ключом для всех файлов. Шифрование данных в начале каждого файла составляет не более 0x500000 байт (~ 5 МБ). Вирус добавляет .vaze расширения для закодированных файлов. Инфекция затрагивает важные и ценные файлы. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы изображений, архивы, файлы приложений и т. д. Djvu Ransomware не шифрует системные файлы, чтобы убедиться, что Windows работает правильно, а пользователи могут просмотрите Интернет, посетите страницу оплаты и заплатите выкуп. Программа-вымогатель Vaze создает _readme.txt файл, который называется «запиской о выкупе» и содержит инструкции по оплате и контактные данные. Вирус помещает его на рабочий стол и в папки с зашифрованными файлами. Разработчики предлагают следующие контактные данные: support@freshmail.top и datarestorehelp@airmail.cc.

Опасный вирус, известный как STOP Ransomware, в частности, его последняя вариация Vapo Ransomware не ослабляет и продолжает свою злонамеренную деятельность даже во время пика реальной пандемии коронавируса человека. Хакеры выпускают новые вариации каждые 3-4 дня, и предотвратить заражение и вылечиться от него по-прежнему сложно. В последних версиях были изменены расширения, которые добавляются в конец затронутых файлов, теперь это: .vapo. Хотя для предыдущих версий есть инструменты расшифровки от Emsisoft, самые новые обычно не поддаются расшифровке. Процессы проникновения, заражения и шифрования остаются прежними: спамовые кампании по вредоносной рекламе, одноранговые загрузки, невнимательность пользователя и отсутствие достойной защиты приводят к серьезной потере данных после шифрования с использованием надежных алгоритмов AES-256. После завершения своей разрушительной деятельности Vapo Ransomware оставляет текстовый файл — записку с требованием выкупа, называемую _readme.txt, из которого мы можем узнать, что расшифровка стоит от $490 до $980, и невозможна без определенного ключа расшифровки.