Ransomware

Coty Ransomware является частью большого cемейства программ-вымогателей STOP/Djvu. Свое название она получила потому, что в исходные версии вредоносной программы к файлам добавлялось .stop (потом .djvu) и зашифровали их с помощью комбинации криптографии AES и RSA, чтобы сделать файлы недоступными на зараженном компьютере с Windows. Coty Ransomware согласно своему названию добавляет .coty расширение. Эта версия появилась в конце апреля 2023 года. Как только программа-вымогатель Coty/STOP завершает процедуру шифрования, вирус создает записку с требованием выкупа для _readme.txt файл. В сообщении мошенников говорится, что жертвы должны заплатить выкуп в течение 72 часов. Авторы СТОП-вируса требуют 490 долларов в течение первых трех дней и 980 долларов после этого периода. Для подтверждения хакеры разрешают отправить 1-3 «не очень больших» файла для бесплатной расшифровки на support@freshmail.top or datarestorehelp@airmail.cc для теста.

Купер — вирус-вымогатель, который заражает системы для шифрования потенциально важных файлов и требует денег за их расшифровку. Наряду с безопасным шифрованием он также назначает .cooper расширение для затронутых файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.cooper и потеряет свой первоначальный значок. После этого изменения файлы больше нельзя будет использовать, даже если вы удалите добавленное расширение. Чтобы отменить эти изменения, инструкции по расшифровке представлены в Cooper_Recover.txt файле. Киберпреступники призывают жертв связываться с ними по электронной почте и платить за уникальное программное обеспечение для расшифровки. Злоумышленники — единственные, кто имеет к нему доступ, и говорят, что ни один другой инструмент не может обеспечить расшифровку зашифрованных файлов .cooper. При обращении жертв также просят указать идентификатор в строке темы сообщения электронной почты. К сожалению, если у вас нет доступной резервной копии, которую можно использовать для извлечения копий зашифрованных файлов, уплата выкупа кибер-мошенникам может быть единственным способом вернуть ваши файлы обратно. Множественные заражения программами-вымогателями используют надежные алгоритмы шифрования и генерируют онлайн-ключи, поэтому расшифровка практически невозможна без помощи первоначальных разработчиков.

Coza — новый образец программы-вымогателя, разработанный небезызвестной группой вымогателей STOP/Djvu. Как и многие другие варианты, опубликованные этими киберпреступниками, этот использует почти идентичный шаблон шифрования и вымогательства. Поселившись на зараженной машине, вирус начинает сканирование и, следовательно, шифрование потенциально важных фрагментов данных. Тем самым вирус стремится создать больше стимулов для жертв платить за расшифровку, предложенную злоумышленниками. В дополнение к шифрованию вредоносное ПО также гарантирует, что жертвы смогут отличить заблокированные файлы от незаблокированных, просто назначив .coza расширение. Например, файл, ранее названный 1.xlsx изменится на 1.xlsx.coza, 1.pdf в 1.pdf.coza и так далее с другими целевыми типами файлов. Чтобы отменить шифрование, жертвы должны следовать инструкциям в _readme.txt .

Pwpdvl это вирус-вымогатель, предназначенный для вымогательства денег у жертв путем шифрования данных. Другими словами, люди, затронутые этой вредоносной программой, больше не смогут получать доступ к своим файлам и просматривать их. Когда Pwpdvl шифрует потенциально важные файлы, он также присваивает идентификатор жертвы вместе с .pwpdvl расширение в конце. Например, такой файл 1.pdf изменится на что-то вроде 1.pdf.[ID-9ECFA84E].pwpdvl и оставит свой оригинальный значок. Чтобы заставить жертв платить деньги за восстановление, шифровальщик файлов создает текстовую заметку с требованием выкупа (RESTORE_FILES_INFO.txt), который содержит инструкции по расшифровке. От жертв требуется связаться с мошенниками (через Bitmessage или qTOX) и оплатить расшифровку в криптовалюте Monero (XMR). Перед отправкой платежа киберпреступники также предлагают протестировать бесплатную расшифровку — жертвы могут отправить 2 зашифрованных файла (неважных и размером не более 1 МБ) и разблокировать их бесплатно. Это своего рода гарантия, которую вымогатели предлагают доказать свои дешифровальные способности и придать дополнительную уверенность для уплаты выкупа. Однако учтите, что доверять киберпреступникам всегда рискованно. Некоторые пользователи обманываются и не получают обещанных инструментов/ключей дешифрования, несмотря на выполнение требований. Несмотря на это, к сожалению, только разработчики программ-вымогателей обладают необходимыми ключами дешифрования для безопасного восстановления доступа к данным. Независимая расшифровка с помощью сторонних инструментов или теневых копий Windows возможна, но в очень редких случаях, когда программа-вымогатель содержит недостатки или не может зашифровать данные должным образом.

VapeV7 это вирус-вымогатель, предназначенный для шифрования данных в успешно зараженных системах. Тем самым вирус гарантирует, что пользователи больше не смогут получать доступ к своим данным или просматривать их, что позволяет злоумышленникам требовать деньги за их расшифровку. Зашифрованные файлы появятся с новым .VapeV7 расширением и сбросят свои исходные значки на пустые. После этого жертвам будут представлены инструкции по расшифровке в специальном всплывающем окне. Для восстановления доступа к данным от жертв требуют отправить 200 долларов на BTC-кошелек киберпреступников (через адрес во всплывающем окне) и сообщить вымогателям идентификатор транзакции по электронной почте. Обратите внимание, что кошельки BTC и контактные адреса электронной почты меняются каждую секунду, создавая большую неопределенность в отношении того, какой адрес кошелька и адрес электронной почты использовать. Кроме того, отображаемые кошельки BTC на самом деле неверны и, следовательно, вообще не существуют. Такое странное явление может быть признаком того, что программа-вымогатель VapeV7 прослушивается или все еще находится в стадии разработки. Однако не исключено, что киберпреступники, стоящие за этой программой-вымогателем, удалят ошибки и поразят будущих жертв более надежными рекомендациями по расшифровке. К сожалению, несмотря на этот факт, файлы, зашифрованные программой-вымогателем VapeV7, с меньшей вероятностью поддаются расшифровке вручную.

Charmant это вредоносная программа, относящаяся к категории программ-вымогателей. Вредоносное ПО такого рода предназначено для шифрования доступа к данным и вынуждает жертв платить деньги за их расшифровку. При шифровании доступа к файлам, хранящимся в системе, этот вариант программы-вымогателя также назначает .charmant расширение, чтобы выделить заблокированные данные. Например, такой файл 1.pdf изменится на 1.pdf и потеряет свой первоначальный значок. Сразу после завершения шифрования появляется текстовая заметка с именем #RECOVERY#.txt создается с рекомендациями по расшифровке. Чтобы установить контакт с киберпреступниками и запросить расшифровку заблокированных файлов, жертвам предлагается писать по электронной почте или через Jabber-клиент (служба безопасного обмена сообщениями). После успешного общения с киберпреступниками от жертв, скорее всего, потребуется заплатить определенный выкуп за получение специального программного обеспечения и ключа дешифрования. Кроме того, сообщение также предостерегает от внесения каких-либо изменений в файлы или попыток их расшифровки с помощью сторонних инструментов, поскольку такие действия могут привести к необратимому повреждению. Хотя эта информация может быть изначально предназначена для того, чтобы напугать неопытных пользователей и в конечном итоге заплатить за расшифровку, на самом деле это правда. Без правильных ключей дешифрования, которые хранятся у киберпреступников, редко удается расшифровать файлы полностью и без риска повреждения. На момент написания этой статьи не известно ни одного стороннего инструмента, способного расшифровать заблокированные данные. В редких случаях общие инструменты дешифрования могут работать только в том случае, если программа-вымогатель содержала недостатки или не смогла зашифровать файлы должным образом.

Недавно специалисты наблюдали за эпидемией вируса Boty Ransomware (вариант STOP Ransomware or Djvu Ransomware). Это вредоносное ПО появилось в апреле 2023 года. Это вирус-шифровальщик, который использует надежный алгоритм шифрования AES-256 для шифрования пользовательских файлов и делает их недоступными для использования без ключа дешифрования. Последние версии этого вредителя добавляют .boty расширения к затронутым файлам. Boty Ransomware создает специальный текстовый файл, который называется «записка о выкупе» и называется _readme.txt. В этом текстовом файле злоумышленники предоставляют контактные данные, общую информацию о шифровании и варианты расшифровки. Вирус копирует его на рабочий стол и в папки с зашифрованными файлами. С злоумышленниками можно связаться по электронной почте: support@freshmail.top и datarestorehelp@airmail.cc.

Boza Ransomware представляет собой новый вариант STOP/Djvu Ransomware который появился в начале апреля 2023 года. Этот вымогатель добавляет .boza расширения к зашифрованным файлам, делая их недоступными для пользователя. Как и другие варианты программ-вымогателей, Boza Ransomware использует передовые алгоритмы шифрования для блокировки файлов, требуя выкуп в обмен на ключ дешифрования. Программа-вымогатель нацелена на широкий спектр файлов, включая документы, изображения, видео, аудио и другие пользовательские данные. Как только программа-вымогатель заражает компьютер, она сканирует всю систему на наличие файлов и шифрует их с помощью алгоритма шифрования AES-256, делая их недоступными. Программа-вымогатель также оставляет записку с требованием выкупа под названием _readme.txt, предоставляя пользователю инструкции заплатить выкуп злоумышленнику в обмен на ключ дешифрования. Злоумышленники также используют уникальный ключ шифрования для каждой зараженной системы, что затрудняет разработку универсального инструмента дешифрования для исследователей безопасности.