Ransomware

Dazx Ransomware является версией STOP/Djvu семейства программ-вымогателей. Это тип вредоносного ПО, которое шифрует файлы на компьютере жертвы и требует выкуп в обмен на ключ дешифрования. Когда Dazx Ransomware заражает компьютер, он шифрует файлы жертвы, используя надежный алгоритм шифрования, делая их недоступными для жертвы. Вредоносное ПО использует алгоритм симметричного шифрования для шифрования файлов жертвы. В частности, он использует потоковый шифр Salsa20 для шифрования данных. Ключ шифрования генерируется случайным образом для каждой жертвы и хранится на сервере злоумышленника. Зашифрованные файлы будут иметь новое расширение, добавленное к их именам файлов, например .dazx. Dazx Ransomware также создает файл заметки о выкупе под названием _readme.txt в каждой папке, содержащей зашифрованные файлы. Этот файл содержит инструкции о том, как заплатить выкуп, чтобы получить ключ дешифрования. Записка о выкупе также предостерегает жертву от попыток расшифровать файлы с помощью стороннего программного обеспечения, так как это может привести к безвозвратной потере данных.

Code — это название нового варианта программы-вымогателя, которая заражает организации, чтобы выполнять шифрование данных и вымогать деньги в обмен на ключ дешифрования. Во время шифрования он добавляет .code расширение и создает записку о выкупе (называемую !!!HOW_TO_DECRYPT!!!.txt) с инструкциями по расшифровке заблокированных данных. Вот как будет выглядеть зараженный файл после шифрования: 1.pdf.code, 2.png.codeи т. д. с другими типами файлов, на которые нацелен вирус. В заметке киберпреступники пытаются убедить жертв заплатить выкуп за расшифровку. Говорят, что жертвы должны установить мессенджер TOX и писать вымогателям, используя предоставленный TOX ID. Если жертвы не выполнят эти требования и не откажутся покупать расшифровку, злоумышленники угрожают начать случайный обмен зашифрованными данными с другими сторонами или слить/продать их в темной сети и других теневых ресурсах.

Dapo Ransomware это вариант STOP/Djvu Ransomware, тип вредоносного ПО, которое шифрует файлы на компьютере жертвы и требует выкуп в обмен на ключ дешифрования для восстановления файлов. Во время шифрования эта вредоносная программа изменяет расширения файлов на .dapo. После завершения процесса шифрования программа-вымогатель оставляет записку с требованием выкупа на рабочий стол жертвы и в каждую папку, содержащую зашифрованные файлы. В записке содержится инструкция о том, как заплатить выкуп, чтобы получить ключ расшифровки. Злоумышленники обычно требуют оплату в криптовалюте, например, в биткойнах. Важно отметить, что нет никакой гарантии, что уплата выкупа приведет к расшифровке файлов. В некоторых случаях жертвы заплатили выкуп, но так и не получили ключ дешифрования, а в других случаях ключ дешифрования, предоставленный злоумышленниками, оказался неэффективным. Имя файла с запиской о выкупе, используемое Dapo Ransomware, соответствует тому же соглашению об именах. Файл называется _readme.txt. Записка о выкупе содержит инструкции о том, как заплатить выкуп, чтобы получить ключ дешифрования, и обычно включает адрес электронной почты, который жертва может использовать для связи с злоумышленниками.

Qarj это новый вариант программы-вымогателя, разработанный и опубликованный по шаблону печально известного STOP/Djvu семейства. Этот конкретный вариант был выпущен в марте 2023 года. Будучи вирусом, шифрующим файлы, он блокирует доступ к личным данным с помощью алгоритмов безопасного шифрования. Это означает, что файлы, хранящиеся на ПК, больше не будут открываться пользователями до тех пор, пока они не будут расшифрованы. В настоящее время шансы на расшифровку файлов, зашифрованных Qarj, невелики. Только 1-2% случаев поддаются расшифровке при соблюдении определенных условий. Используйте все инструкции на этой странице, пока не восстановите некоторые данные. Чтобы показать, что все файлы были заблокированы, разработчики добавляют новый .qarj расширение для каждого файла. К примеру, такой файл, как 1.pdf изменится на 1.pdf.qarj и, в конце концов, сбросить его значок. После завершения этой части шифрования вирус создает текстовую заметку (_readme.txt), который содержит инструкции о выкупе.

Qapo Ransomware — новая программа для шифрования файлов, разработанная и опубликованная авторами STOP/Djvu семейства. Практически все версии, озаглавленные этой группой вымогателей, используют аналогичные действия для вымогательства денег у потерпевших. Этот конкретный вариант был выпущен в середине марта 2023 года. Как только Qapo попадает на ваш компьютер, он запускает быстрое сканирование вашей системы, чтобы найти конфиденциальные данные. Затем, как только этот процесс будет завершен, вредоносная программа сможет зашифровать ваши данные. При этом все файлы изменяются с .qapo расширение, которое появляется в конце каждого имени файла. Например, файл типа 1.pdf изменится на 1.pdf.qapoи аналогично. Как только вы заметите такое немедленное изменение, вы больше не сможете получить доступ к данным. Чтобы расшифровать его, киберпреступники инструктируют жертв через шаги, перечисленные в текстовой заметке (_readme.txt), которая открывается по окончании шифрования. Все последние версии этого семейства программ-вымогателей используют одинаковый текст в записках о выкупе.

Qazx Ransomware называется так из-за .qazx расширения, добавляемого к затронутым файлам, изменяющего исходные расширения различных типов конфиденциальных данных. Эта версия появилась в середине марта 2023 года. Фактически, технически это STOP Ransomware, который использует алгоритмы шифрования AES для шифрования файлов пользователя. Этот суффикс - одно из сотен различных расширений, используемых этой вредоносной программой. Означает ли это, что вы потеряли свои ценные данные? Не обязательно. Существуют определенные методы, позволяющие полностью или частично восстановить ваши файлы. Также есть бесплатная утилита дешифрования под названием STOP Djvu Decryptor от EmsiSoft, который постоянно обновляется и способен расшифровать сотни типов этого вируса. После завершения своей разрушительной деятельности Qazx Ransomware создает _readme.txt файл (записка о выкупе), где информирует пользователей о факте шифрования, сумме выкупа и условиях оплаты.

Если вы не можете открыть свои файлы, и у них есть .craa расширение добавленное в конце имен файлов, это означает, что ваш компьютер заражен Craa Ransomwareчасть STOP/Djvu Ransomware семейства. Эта вредоносная программа мучает своих жертв с 2017 года и уже стала самым распространенным вирусом-вымогателем в истории. Он заражает тысячи компьютеров в день, используя различные методы распространения. Он использует сложную комбинацию симметричных или асимметричных алгоритмов шифрования, удаляет точки восстановления Windows, предыдущие версии файлов Windows, теневые копии и в основном оставляет только 3 возможности для восстановления. Первый - заплатить выкуп, однако нет никакой гарантии, что злоумышленники отправят ключ дешифрования обратно. Вторая возможность маловероятна, но стоит попробовать - использовать специальный инструмент расшифровки от Emsisoft, который называется STOP Djvu Decryptor. Он работает только при определенных условиях, которые мы опишем в следующем параграфе. Третий - это использование программ восстановления файлов, которые часто служат обходным путем для проблем, связанных с заражением вымогателями. Рассмотрим файл с запиской о выкупе (_readme.txt), которую вирус размещает на рабочем столе и в папках с зашифрованными файлами.

Esxi (ESXiArgs) Ransomware это вредоносная инфекция, которая нацелена на организации, используя уязвимости в VMware ESXi - инструмент виртуальной машины, используемый для управления и оптимизации различных процессов внутри организаций. Отчеты о безопасности показывают, что киберпреступники используют известные уязвимости в VMware ESXi для получения доступа к серверам и развертывания программы-вымогателя ESXiArgs в целевой системе. После этого вирус начнет искать файлы, расположенные на виртуальной машине, со следующими расширениями: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Для каждого зашифрованного файла программа-вымогатель также создаст отдельный файл с .ESXiArgs or .args расширение с метаданными внутри (вероятно, необходимое для будущей расшифровки).