Ransomware

@BLOCKED — это заражение программами-вымогателями, которое шифрует потенциально ценные данные и требует от жертв выполнения определенных действий для восстановления доступа к ним. После запуска успешного шифрования всем именам файлов будет присвоено пользовательское расширение, начинающееся со случайного набора символов и заканчивающегося @BLOCKED. Например, такой файл 1.pdf изменится на что-то вроде 1.pdf.i34ot23@BLOCKED и станет недоступным. После успешного шифрования создается текстовая заметка с требованием выкупа, имя которой также состоит из случайных символов, предшествующих расширению «.txt» (например, mesgwuibjpdrdum.txt). Эта заметка содержит инструкции по восстановлению зашифрованных данных.

Эпидемия STOP Ransomware все еще продолжается, и его другой преемник называется Tyos Ransomware. Этот неприятный вирус поражает тысячи компьютеров по всему миру, в основном в США, Канаде, Европе, Южной Африке, Австралии и Новой Зеландии. Самая последняя версия, появившаяся в конце марта 2023 года, использует .tyos расширение, которое он добавляет в конец зашифрованных файлов. Так как DjVu Ransomware использует алгоритм шифрования AES, вероятность расшифровки мала, но существует. Tyos Ransomware повреждает важные данные пользователей: фото, видео, документы и другую информацию, за которую жертвы готовы платить выкуп. В то же время он не затрагивает системные файлы, чтобы поддерживать работоспособность Windows. Последнее поколение этого вируса создает файл с запиской о выкупе под названием _readme.txt. Этот файл содержит общую информацию о заражении, сумме выкупа и контактные данные.

Typo Ransomware это разрушительный криптовирус (вариант STOP Ransomware), который использует алгоритм асимметричного шифрования AES-256 для ограничения доступа пользователей к своим файлам без ключа. Вредоносное ПО добавляет .typo расширения к файлам, делает их нечитаемыми и вымогают выкуп за расшифровку. Вариант Typo появился в марте 2023 года и заразил десятки тысяч компьютеров по всему миру. К сожалению, в связи с техническими изменениями в новейшей версии восстановление файлов без резервных копий невозможно. Однако есть определенные стандартные функции и инструменты Windows, которые могут помочь вам восстановить хотя бы некоторые файлы. В этом случае также может быть полезно программное обеспечение для восстановления файлов. В текстовом поле ниже есть текстовое сообщение от _readme.txt файл под названием «записка о выкупе». Ниже в текстовом поле вы можете ознакомиться с образцом такого файла. В этом файле злоумышленники раскрывают контактную информацию, цену расшифровки и способы оплаты выкупа.

Rans-A — это новый вариант файлового шифровальщика, принадлежащий к семейству Xorist. После успешного проникновения в систему программа-вымогатель приступит к шифрованию потенциально важных данных и добавлению .Rans-A к исходному имени файла. В результате ранее доступный файл типа 1.pdf изменится на 1.pdf.Rans-A и станет ограниченным в доступе. Основная цель программ-вымогателей — вымогать деньги у жертв за расшифровку файлов. Таким образом, вирус выводит сообщение об ошибке и создает текстовый файл с именем HOW TO DECRYPT FILES.txt что оба показывают инструкции по расшифровке (на португальском языке). В целом, по словам жертв, единственный способ восстановить данные в их первоначальном состоянии — это связаться с киберпреступниками в установленный срок. Если жертвы не сделают этого к концу крайнего срока, расшифровка предположительно будет недоступна. Кроме того, примечание также предостерегает жертв от удаления, переименования или отправки сообщения о выкупе на какой-либо веб-сайт/орган. В противном случае электронная почта злоумышленников может оказаться заблокированной и перестать принимать запросы на расшифровку данных. Как правило, обращаясь к киберпреступникам, они назначают цену, которую необходимо заплатить за расшифровку.

Количество запросов, связанных с новой активностью программ-вымогателей, растет каждый день с появлением новых заражений. На этот раз пользователи имеют дело с Tycx Ransomware, который является новым и опасным произведением, разработанным Djvu/STOP семейством. Эта конкретная версия начала заражать компьютеры во второй половине марта 2023 года. Ее недавняя активность привела к шифрованию большого количества личных данных с помощью надежных алгоритмов. Несмотря на то, что Tycx Ransomware еще не был полностью проверен, некоторые вещи уже ясны. Например, вирус перенастраивает различные типы данных (изображения, документы, базы данных и т. д.), меняя исходные расширения на .tycx. Это означает, что все типы данных сохранят свое первоначальное имя, но изменит основное расширение на что-то вроде этого "1.pdf.tycx". Как только процесс шифрования подойдет к концу, вы больше не сможете получить доступ к своим данным. Чтобы вернуть его, вымогатели создали сценарий создания идентичных заметок, помещаемых в зашифрованные папки или на рабочий стол. Название заметки обычно _readme.txt, который содержит подробные инструкции по восстановлению ваших данных.

Tywd Ransomware (последняя версия STOP or Djvu Ransomware) чрезвычайно опасен и является одним из самых активных вирусов-шифровальщиков. Более половины сообщений о программах-вымогателях в ID-Ransomware (служба идентификации программ-вымогателей) отправляются жертвами STOP Ransomware. Несмотря на то, что он находится в обращении уже пару лет, количество заражений, вызванных Tywd Ransomware, продолжает расти. Это может быть несколько иронично, но большинство жертв (на данный момент) — пользователи пиратского программного обеспечения. Рассматриваемая сегодня версия вируса добавляет .tywd расширение к файлам. Вредоносная программа также создает текстовый файл (называемый _readme.txt) в каждой зараженной папке, что объясняет пользователю, что его компьютер заражен, и он не сможет получить доступ к своим данным, пока не заплатит выкуп в размере 980 долларов. Если пользователь платит в течение 72 часов после заражения, выкуп уменьшается до 490 долларов США. Пример этой записки о выкупе представлен ниже.

Darj Ransomware является распространенным вирусом-шифровальщиком и шантажистом, нацеленным на ценные личные файлы. Принадлежит к STOP/Djvu группе вредоносных программ. После заражения и кодирования данных хакеры начинают вымогать выкуп. Существует более 600 версий программы-вымогателя, каждая версия немного модифицируется, чтобы обойти защиту, но основные следы остаются прежними. Вредонос использует AES-256 в режиме CFB. Вскоре после запуска исполняемый файл криптографа семейства STOP подключается к C&C, извлекает ключ шифрования и идентификатор заражения для ПК жертвы. Данные передаются по простому HTTP в формате JSON. Если C&C недоступен (ПК не подключен к Интернету, сам сервер не работает), криптограф использует зашитые в нем ключ и идентификатор и выполняет офлайн-шифрование. В этом случае вы можете расшифровать файлы без уплаты выкупа. Варианты STOP Ransomware можно отличить друг от друга по примечаниям о выкупе и расширениям, которые он добавляет к зашифрованным файлам. Для программы STOP Ransomware, которая исследуется сегодня, расширение: .darj. Файл с запиской о выкупе _readme.txt представлен ​​ниже в текстовом поле и на картинке. В статье ниже мы объясним, как полностью удалить Darj Ransomware и как расшифровать или восстановить файлы .darj.

Basn представляет собой заражение программами-вымогателями, нацеленными на различные компании. При проникновении он быстро сканирует систему на наличие потенциально важных файлов (например, документов, баз данных, видео, изображений и т. д.) и шифрует доступ к ним. В ходе этого процесса вирус также присваивает .basn расширение, чтобы выделить заблокированные данные. Например, файл, первоначально названный 1.xlsx изменится на 1.xlsx.basn и сбросьте его значок на пустой. После успешного шифрования файловый шифратор также удаляет текстовый файл с именем unlock your files.txt с инструкциями по расшифровке внутри. Внутри заметки уточняется, что данные жертвы были зашифрованы и извлечены на серверы киберпреступников. Чтобы разблокировать зашифрованные данные и предотвратить утечку данных на сомнительные ресурсы/цифры, вымогатели требуют от жертв уплаты выкупа в биткойнах или криптовалюте Monero. Цена в примечании не раскрывается, так как она может меняться в зависимости от количества и стоимости зашифрованных данных. К сожалению, если вирус не имеет серьезных уязвимостей, которыми можно воспользоваться, киберпреступники обычно являются единственными фигурами, способными полностью и безопасно расшифровать доступ к данным. На данный момент известно, что никакая третья сторона не может обойти шифрование, применяемое Basn Ransomware. Единственными доступными вариантами восстановления данных являются либо сотрудничество с разработчиками программ-вымогателей, либо получение данных из существующих резервных копий. Резервные копии — это копии данных, хранящихся на внешних устройствах, таких как USB-накопители, внешние жесткие диски или твердотельные накопители. Единственным недостатком самостоятельного восстановления является то, что злоумышленники действительно могут опубликовать собранные данные и тем самым нанести ущерб репутации некоторых компаний, если они действительно намерены это сделать.