Ransomware

Kiop Ransomware является еще одним представителем STOP/Djvu вирус, который мучает пользователей с 2017 года. Именно эта версия была выпущена в начале апреля 2023 года и добавляет .kiop расширение для всех зашифрованных файлов, как видно из его имени. В остальном это тот же вирус, который шифрует файлы и требует выкуп, как и сотни его предшественников. Программы-вымогатели этого типа используют ту же криптографию, которая, к сожалению, пока не поддается шифрованию. Kiop Ransomware, как и другие варианты STOP/Djvu Ransomware, обычно использует комбинацию симметричных и асимметричных алгоритмов шифрования для шифрования файлов жертвы. В частности, программа-вымогатель использует шифрование AES-256 для симметричного шифрования файлов жертвы, а затем использует шифрование RSA-2048 для асимметричного шифрования ключа шифрования AES. Это означает, что злоумышленник владеет закрытым ключом RSA, необходимым для расшифровки ключа шифрования AES, и, следовательно, может расшифровать файлы жертвы после получения оплаты. Единственное, что изменилось за последние годы, — это расширение и контактные адреса электронной почты. Название записки о выкупе остается без изменений (_readme.txt) и вы можете проверить содержимое в текстовом поле ниже.

Skylock — это новый вариант программы-вымогателя из семейства MedusaLocker. При успешном проникновении вирус шифрует доступ к файлам (на основе криптографии AES и RSA) и присваивает .skylock расширение к ним. Например, такой файл 1.pdf изменится на 1.pdf при успешном шифровании. Чтобы устранить ущерб и вернуть заблокированные данные, киберпреступники предоставляют инструкции по расшифровке внутри How_to_back_files.html файла. Как правило, жертвам говорят, что им необходимо приобрести специальное программное обеспечение для расшифровки у киберпреступников, стоящих за инфекцией. Для этого им необходимо установить контакт с вымогателями по одному из каналов связи (либо по ссылке в браузере TOR, либо по предоставленным адресам электронной почты). Также сообщается, что жертвы могут отправить 2–3 файла, не содержащих никакой важной информации, и бесплатно получить их обратно в расшифрованном виде. Это должно доказать, что злоумышленники действительно способны расшифровать файлы. Если жертвы откажутся связываться с вымогателями и платить за расшифровку, их данные попадут в общедоступные ресурсы, что может нанести репутационный ущерб компании или личности пользователя. К сожалению, несмотря на то, что расшифровка может быть недоступной или ненужной для некоторых пользователей, киберпреступники обычно являются единственными фигурами, способными расшифровать доступ к данным.

Если ваши файлы стали недоступны, нечитаемы и получили .kiwm расширения это означает, что ваш компьютер заражен Kiwm Ransomware (вариация STOP Ransomware или, как его иногда называют DjVu Ransomware). Это вредоносная программа, которая относится к группе вирусов-вымогателей. Эта конкретная версия была выпущена в начале апреля 2023 года. Этот вирус может заражать практически все современные версии операционных систем семейства Windows, включая Windows 7, Windows 8, Windows 10 и последнюю версию Windows 11. Вредонос использует гибридное шифрование. режим и длинный ключ RSA, что практически исключает возможность подбора ключа для самостоятельной расшифровки файлов. Как и другие подобные вирусы, цель Kiwm Ransomware — заставить пользователей купить программу и ключ, необходимые для расшифровки зашифрованных файлов. Исследуемая сегодня версия практически идентична предыдущим, за исключением новых адресов электронной почты, используемых для связи со злоумышленниками, и добавления новых расширений.

Kitz Ransomware (принадлежит к семейству STOP Ransomware or Djvu Ransomware) представляет собой вирус, шифрующий файлы с высокой степенью риска, поражающий системы Windows. В начале апреля 2023 года новое поколение этой вредоносной программы начало кодировать файлы, используя .kitz расширения. Вирус нацелен на важные и ценные типы файлов, такие как фотографии, документы, видео, архивы, зашифрованные файлы становятся непригодными для использования. Программа-вымогатель ставит _readme.txt файл, который называется «записка о выкупе» или «записка с требованием выкупа» на рабочем столе и в папках с зашифрованными файлами. Для связи разработчики используют следующие адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc. Хакеры требуют $980 за расшифровку ваших файлов (в сообщении говорится, что жертвы получат 50% скидку, если свяжутся с киберпреступниками в течение 72 часов после расшифровки). По многим данным, злоумышленники часто не отвечают жертвам, когда те получают выкуп. Мы настоятельно не рекомендуем платить деньги. Файлы, зашифрованные некоторыми версиями Kitz Ransomware, можно расшифровать с помощью STOP Djvu Decryptor.

BlackByteNT является недавно обнаруженным вирусом-вымогателем. После внедрения в систему все потенциально важные типы файлов станут недоступны из-за полноценного шифрования. В дополнение к шифрованию доступа к данным, шифратор файлов также заменяет исходные имена файлов случайной строкой символов и .blackbytent расширение в конце. Например, такой файл 1.pdf изменится на что-то вроде dnoJJlc=.blackbytent а также потеряет свой первоначальный значок. Последней значительной частью программы-вымогателя является BB_Readme_[случайная_строка].txt⁣ — записка о выкупе, содержащая рекомендации по расшифровке. Киберпреступники говорят, что данные были зашифрованы и отправлены на их серверы. Чтобы вернуть доступ и предотвратить утечку данных, от жертв требуют сотрудничать с вымогателями и следить за информацией, представленной по ссылке TOR, указанной в заметке. Если жертвы задержат связь, цена за дешифрование вырастет выше, и в течение 4 дней бездействия жертвы больше не смогут пользоваться услугами дешифрования киберпреступников. Наконец, кибер-мошенники предостерегают жертв от использования сторонних инструментов дешифрования, предполагая, что существует риск их повреждения и, следовательно, потери возможности когда-либо их расшифровать.

STOP Ransomware (Djvu Ransomware) официально является самым распространенным вирусом-шифровальщиком в мире. Шифровальщик работает по классической схеме: шифрует файлы, добавляет к ним новое расширение и размещает на зараженной машине записку с требованием выкупа. Более 50% компьютеров, зараженных программами-вымогателями, заражены STOP Ransomware. У него есть второе имя – ⁣Djvu Ransomware, в честь расширения .djvu, который был добавлен к файлам на первых зараженных компьютерах. С несколькими мелкими и крупными модификациями вирус продолжает свою разрушительную деятельность и в наши дни. Недавний вариант вредоносного ПО (Kifr Ransomware появился в апреле 2023 года) добавляет .kifr расширение для файлов. Kifr Ransomware шифрует файлы жертв, используя алгоритм шифрования AES. AES (Advanced Encryption Standard) — это широко используемый алгоритм симметричного шифрования, который считается безопасным и используется для защиты конфиденциальных данных во многих приложениях. Шифрование AES использует секретный ключ для шифрования и расшифровки данных, а надежность шифрования зависит от длины используемого ключа. Разумеется, пораженные файлы становятся недоступными без специального «расшифровщика», который приходится покупать у хакеров.

Nitz Ransomware представляет собой большое семейство вирусов-шифровальщиков с более чем годовой историей. За это время он претерпел множество визуальных и технических модификаций. В этой статье будут описаны особенности последних версий этой вредоносной программы. С начала апреля 2023 года программа STOP Ransomware начала добавлять к зашифрованным файлам следующие расширения: .nitz. И по названию расширения оно называется «Nitz Ransomware». Вирус изменяет файл hosts, чтобы заблокировать обновления Windows, антивирусные программы и сайты, связанные с новостями безопасности. Процесс заражения также выглядит как установка обновлений Windows, для этого вредоносное ПО генерирует поддельное окно и индикатор выполнения. Эта версия STOP Ransomware теперь использует следующие адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc. STOP Ransomware создает файл с запиской о выкупе _readme.txt.

Если вы попали на эту статью, скорее всего, вы заражены Niwm Ransomware, который зашифровал ваши файлы и изменил их расширения на .niwm. Имя Niwm дается этой вредоносной программе только для того, чтобы помочь пользователям найти решение для удаления и расшифровки, и в соответствии с добавленным суффиксом. По сути, это всего лишь 681-я версия STOP Ransomware (иногда называется Djvu Ransomware), который существует уже более 5 лет и стал одним из самых распространенных семейств вымогателей. Niwm был выпущен в первые дни апреля 2023 года. К сожалению, сейчас шансы на 100% дешифрование невелики, поскольку он использует надежные алгоритмы шифрования, однако с помощью приведенных ниже инструкций вы сможете восстановить некоторые файлы. использует комбинацию алгоритмов шифрования RSA и AES для шифрования файлов жертвы. Алгоритм RSA используется для шифрования ключа AES, а алгоритм AES — для шифрования файлов жертвы. Ключ AES генерируется случайным образом для каждой жертвы и хранится на сервере злоумышленника. Но сначала вам нужно удалить файлы вымогателя и убить его процессы. Ниже приведен пример записки о выкупе Niwm Ransomware, которую он оставляет на рабочем столе (_readme.txt). Она достаточно типична и остается практически неизменной с небольшими изменениями на протяжении нескольких лет.