Ransomware

Qopz Ransomware представляет собой высокорисковый компьютерный вирус, шифрующий файлы, принадлежащий к печально известному семейству STOP/Djvu. Этот конкретный вирус был выпущен в первые дни мая 2023 года. Вот некоторые из его характеристик: он изменяет расширения файлов с 4-буквенным кодом .qopz; он шифрует эти файлы с помощью надежной комбинации криптографии AES-256 и RSA-1024; он создает записку о выкупе _readme.txt, где авторы требуют выкуп в размере 980/490 долларов за расшифровку. К сожалению, полная расшифровка невозможна, если вирус использовал онлайн-ключ (ваш компьютер был онлайн в течение всего процесса шифрования). Но не отчаивайтесь, шансы частично или даже полностью восстановить данные еще есть с помощью инструкций, представленных на этой странице, и определенной доли удачи. Хакеры предлагают бесплатно расшифровать 1 файл, и мы рекомендуем не упускать такую ​​возможность. Хотя говорят, что файл не должен содержать важной информации, пришлите им 1 важный файл, самый важный документ или памятную фотографию. Однако это должно быть все общение с ними. Не платите выкуп, потому что в большинстве случаев злоумышленники просто перестают отвечать.

GAZPROM представляет собой заражение программами-вымогателями, разработанными на основе другой программы-вымогателей, называемой CONTI. Как и другие вредоносные программы этого типа, «Газпром» нацелен на шифрование личных файлов, а затем требует от жертв выкуп за их расшифровку. Наряду с шифрованием вирус создает два файла с инструкциями по расшифровке (GAZPROM_DECRYPT.hta и DECRYPT_GAZPROM.html). Кроме того, зашифрованные данные переименовываются с помощью .GAZPROM расширение. В результате файлы с ограниченным доступом начинают выглядеть следующим образом: 1.pdf.GAZPROM, 1.png.GAZPROM, и так далее. Для возврата заблокированных данных жертвам предлагается связаться с киберпреступниками в мессенджере Telegram и оплатить расшифровку данных. Если жертве не удается установить связь в течение первых 24 часов после шифрования, цена увеличивается. Злоумышленники уверяют, что они способны вернуть доступ к заблокированным данным и могут предоставить все возможные доказательства, подтверждающие это.

Zhong — это название вируса-вымогателя, который выполняет шифрование данных, хранящихся в системе, а затем призывает жертв платить деньги за расшифровку. Ограничивая доступ к данным, вирус также присваивает .zhong расширение для выделения зашифрованных данных. Обратите внимание, что это изменение является чисто визуальным и не имеет прямого отношения к шифрованию. К сожалению, простое удаление добавленного расширения не вернет доступ к данным. Для этого жертвам предлагается следовать инструкциям в Restore.txt текстовая заметка, которая создается после успешного шифрования. В сообщении из текстовой заметки уточняется, что у жертв есть 48 часов, чтобы связаться с злоумышленниками по электронной почте и оплатить расшифровку. В противном случае затронутые данные будут обнародованы на различных ресурсах (предположительно даркнет). Говоря это, киберпреступники пытаются запугать пользователей и фактически заставить их заплатить выкуп. Хотя стоимость расшифровки неизвестна, различные вымогатели-вымогатели могут потребовать от сотен до даже тысяч долларов за полную расшифровку файлов.

H3r представляет собой заражение программами-вымогателями, предназначенное для того, чтобы сделать файлы недоступными (используя шифрование) и потребовать плату за их последующее восстановление. В дополнение к безопасному криптографическому шифрованию, вирус также изменяет имена зараженных файлов, добавляя новое расширение, которое состоит из личного идентификатора жертвы, адреса электронной почты киберпреступника и .h3r в самом конце. Например, исходный файл, такой как 1.pdf после шифрования изменится на что-то вроде 1.pdf.id-9ECFA84E.[herozerman@tutanota.com].h3r и становятся недоступными. После этого программа-вымогатель отобразит всплывающее окно и создаст info.txt файл, в котором представлены рекомендации по расшифровке для жертв.

AttackSystem это вирус-вымогатель, обладающий возможностями шифрования файлов. Это означает, что после заражения жертвам будет ограничен доступ к их собственным данным до тех пор, пока не будет выплачен выкуп. Кроме того, вымогатель также изменяет внешний вид файла, добавляя .attacksystem расширение. Например, файл, ранее названный 1.pdf изменится на что-то вроде 1.pdf.attacksystem и становятся непригодными для использования. Информация о том, как вернуть заблокированные данные, предоставленные мошенниками в How_to_back_files.html файл, который создается после шифрования. Также стоит отметить, что AttackSystem Ransomware принадлежит к другому семейству вредоносных программ, известному как MedusaLocker.

Saba это программа-вымогатель, принадлежащая STOP/Djvu семейство вредоносных программ. Как и предыдущие версии программ-вымогателей, выпущенных этим семейством, Saba шифрует личные данные и требует от жертв уплаты выкупа за их возвращение. В ходе этого процесса вирус изменяет все файлы с ограниченным доступом, используя .saba расширения. К примеру, такой файл, как 1.pdf изменится на 1.pdf.saba и сбросьте его первоначальный значок. После этого Saba Ransomware создает текстовую заметку (_readme.txt), содержащий инструкции по восстановлению файлов. Как сказано в заметке, жертвы должны связаться с разработчиками программ-вымогателей по электронной почте (support@freshmail.top or datarestorehelp@airmail.cc) и заплатить 980 долларов за специальное программное обеспечение для расшифровки. Киберпреступники также предлагают скидку 50% от указанной цены, если жертвы напишут сообщение мошенникам в течение 72 часов. В дополнение к этому, зараженные пользователи также могут бесплатно отправить 1 зашифрованный файл, чтобы разблокировать его и полностью запустить. Возможно ли расшифровать ваши данные без уплаты выкупа, зависит от того, как они были зашифрованы. Разработчики из семейства STOP могут использовать как автономные, так и онлайн-способы генерации и хранения назначенных шифров.

Sato Ransomware компьютерный вирус-вымогатель глобального масштаба, принадлежащий к крупнейшему семейству STOP/Djvu Ransomware. Он был разработан кибер-вымогателями для шантажа пользователей по всему миру. Вредоносное ПО блокирует доступ к документам, фотографиям, базам данных, музыке, почте, архивам пользователей, зашифровывая их с помощью алгоритма шифрования AES, и требует выкуп: от 490 до 980 долларов в биткойнах. Модификация вируса, которую мы сейчас исследуем, добавляет .sato расширения к затронутым файлам и имеет много других характерных признаков. Появился в конце апреля - начале мая. Например, все последние версии STOP Ransomware используют _readme.txt файл заметки о выкупе с типичным сообщением. Конкретная версия, находящаяся сегодня в стадии исследования, использует следующие адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc.

SethLocker является недавно обнаруженным вирусом-вымогателем. Киберпреступники используют его для шифрования потенциально важных файлов, а затем вынуждают жертв платить деньги за их расшифровку. В отличие от многих других подобных инфекций, которые добавляют свое собственное расширение в конец имен файлов, SethLocker выполняет любые визуальные изменения и оставляет все файлы и значки в их первоначальном виде. Несмотря на это, данные, тем не менее, зашифрованы, и жертвы не могут получить к ним доступ. Чтобы вернуть заблокированные данные, злоумышленники написали инструкции в текстовой заметке под названием HOW_DECRYPT_FILES.txt. В нем говорится, что все важные файлы были зашифрованы из-за уязвимости в системе. Чтобы повторить вредоносные изменения, жертвы обязаны связаться с мошенниками по одному из своих адресов электронной почты и заплатить деньги за расшифровку. Цена за расшифровку в сообщении не раскрывается, однако злоумышленники утверждают, что она «слишком маленькая». Кроме того, жертвам также разрешено отправить один неценный файл и бесплатно расшифровать его. Таким образом кибер-мошенники демонстрируют свою способность расшифровывать файлы и дополнительно дают дополнительную мотивацию для уплаты выкупа. Обратите внимание, что платить выкуп обычно не рекомендуется, поскольку некоторые вымогатели обманывают своих жертв и не отправляют никаких инструментов для расшифровки после оплаты.