Ransomware

Alice Ransomware — вредоносная программа, предназначенная для шифрования личных данных пользователей и вымогательства денег за их расшифровку. Шифруя доступ к файлам с помощью безопасных алгоритмов, файл-шифратор также присваивает .alice расширение для зашифрованных данных. Например, такой файл 1.pdf скорее всего изменится на 1.pdf.alice и сброситься его первоначальный значок. Многие программы-вымогатели присваивают собственное расширение, чтобы отличить зашифрованные файлы и заставить пользователей заметить изменение. Инструкции по возврату файлов представлены в How To Restore Your Files.txt текстовый файл, который создается после успешного шифрования. Эта текстовая заметка содержит рекомендации, написанные на русском языке, что указывает на то, что этот шифратор предназначен в основном для русскоязычных пользователей. Стоит отметить, что Алиса была распространена в двух вариантах с немного различающимся текстом записки о выкупе.

STOP Ransomware это чума 2017-2023 гг., живучий вирус, основанный на технологии шифрования, Qotr Ransomware является его последней версией. Программа-вымогатель использует алгоритм шифрования AES для кодирования важных файлов и вымогает выкуп в биткойнах за расшифровку. Эта вредоносная программа нацелена в основном на западные страны, но были обнаружены тысячи заражений и в других частях мира. Qotr Ransomware использует те же шаблоны, но добавляет другие расширения для изменения файлов. Версия, которую мы наблюдаем сегодня, добавляет .qotr расширение. Криптовирус поражает ценные данные пользователя: фотографии, видео и документы, захватывает в заложники потенциально важные файлы. В то же время он сохраняет системные файлы Windows нетронутыми. Во всех последних версиях использовался файл с запиской о выкупе под названием _readme.txt, и этот вариант не исключение. Все образцы принадлежат одним и тем же авторам, так как они используют одни и те же контактные данные: support@freshmail.top и datarestorehelp@airmail.cc.

Qoqa Ransomware (который является частью большого семейства STOP / Djvu Ransomware) - неприятный вирус, который шифрует файлы на компьютерах с использованием алгоритма шифрования AES, делает их недоступными и требует денег в обмен на так называемый «дешифратор». Файлы, обработанные последней версией STOP Ransomware, в частности, можно отличить по .qoqa расширения. Анализ показал, что криптографический установщик, загруженный с «кряком» или рекламным ПО, устанавливается под произвольным именем в %LocalAppData%\ папку. При запуске загружает туда четыре исполняемых файла: 1.exe, 2.exe, 3.exe и updatewin.exe. Первый из них отвечает за нейтрализацию Защитника Windows, второй - за блокировку доступа к сайтам информационной безопасности. После запуска вредоносной программы на экране появляется фальшивое сообщение об установке обновления для Windows. Фактически, на данный момент практически все пользовательские файлы на компьютере зашифрованы. В каждой папке, содержащей зашифрованные документы, текстовый файл (_readme.txt), в котором злоумышленники объясняют работу вируса. Они предлагают заплатить им выкуп за расшифровку, призывая не использовать сторонние программы, так как это может привести к удалению всех документов.

Roghe это вирус-вымогатель, нацеленный на личные данные жертв. После того, как вредоносное ПО заражает целевую систему, оно начинает шифрование потенциально важных файлов, делая их недоступными до тех пор, пока не будет получен ключ дешифрования. В процессе шифрования Roghe Ransomware назначает .enc расширение к зараженным файлам. Например, такой файл 1.pdf превратится в 1.pdf.enc и так далее с другими затронутыми файлами. Как только все файлы зашифрованы, вирус меняет обои рабочего стола и принудительно открывает всплывающее окно с рекомендациями по расшифровке. Текст, отображаемый на недавно назначенных обоях, позволяет пользователям узнать, что они были заражены, и побуждает их следовать инструкциям из открытого всплывающего окна. Кроме того, он также имеет QR-код, ведущий к дополнительной информации о вредоносном ПО. В окне «Roghe Decryptor» говорится, что у жертв есть 15 минут, чтобы получить ключ и вставить его для разблокировки доступа к файлам — в противном случае зашифрованные файлы будут удалены навсегда. Также говорится, что в течение 20 минут операционная система будет недоступна, по сути, заблокирована.

Новая волна STOP Ransomware инфекции продолжается с Qowd Ransomware, который добавляет .qowd расширения. Программа STOP Ransomware была впервые обнаружена в 2018 году и с тех пор превратилась в один из самых распространенных типов программ-вымогателей. Эти расширения «.qowd» были добавлены к зашифрованным файлам в конце февраля 2023 года. Этот хитрый вирус использует алгоритм шифрования AES для кодирования важной информации пользователей. Как правило, Qowd Ransomware атакует фотографии, видео и документы — данные, которые ценны для людей. Разработчики вредоносного ПО вымогают выкуп и обещают взамен предоставить ключ для расшифровки. Полная расшифровка утерянных данных возможна в меньшинстве случаев, если использовался автономный ключ шифрования, в противном случае воспользуйтесь инструкциями на странице для восстановления зашифрованных файлов. Программа-вымогатель также создает записку с требованием выкупа (_readme.txt), который информирует жертву об атаке и требует оплату в биткойнах или других криптовалютах в обмен на ключ дешифрования.

Iotr Ransomware (иногда называется STOP Ransomware or DjVu Ransomware) — широко распространенный вирус-шифровальщик, впервые появившийся в декабре 2017 года. С тех пор произошло множество технических и дизайнерских изменений, а также сменилось несколько поколений вредоносных программ. Программа-вымогатель использует алгоритм шифрования AES-256 (режим CFB) для кодирования пользовательских файлов, а после этой последней версии (появившейся в конце февраля 2023 года) добавляет .iotr расширения. После шифрования вирус создает текстовый файл _readme.txt, которая называется «записка о выкупе», где хакеры раскрывают сумму выкупа, контактную информацию и инструкции по его оплате. STOP Программа-вымогатель с расширением .iotr использует следующие адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc, как и десятки его предшественников.

Kangaroo — это заражение программами-вымогателями, выпущенное разработчиками более ранних файловых шифраторов, таких как Apocalypse, Fabiansomware и Esmeralda. Хотя этот файловый шифратор активно распространялся в 2021 году, некоторые пользователи все еще могут проникнуть в него в наши дни. Целью вредоносного ПО этой категории является шифрование потенциально важных данных и вымогательство денег за расшифровку у жертв. Особенность, которая выделяет Kangaroo среди других распространенных программ-вымогателей, заключается в том, что она настраивает значения реестра для отображения сообщения о выкупе перед входом на экран входа в систему Windows. Сразу после входа в систему также отображается поддельный экран с тем же сообщением о выкупе, но на этот раз с выделенным полем для ввода пароля для его разблокировки. Во время шифрования Kangaroo также назначает .crypted_file расширение и создает идентичные сообщения о выкупе в виде текстовых заметок. Такие текстовые заметки создаются дополнительно к каждому зашифрованному файлу и называются на основе имени файла после шифрования (например, здесь 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (также известный как STOP Ransomware or Djvu Ransomware) — чрезвычайно опасный вирус, который шифрует файлы с помощью алгоритма шифрования AES-256 и добавляет .ioqa расширения к затронутым файлам. Заражение в основном связано с важными и ценными файлами, такими как фотографии, документы, базы данных, электронная почта, видео и т. д. Ioqa Ransomware не трогает системные файлы, чтобы позволить Windows работать, поэтому пользователи смогут заплатить выкуп. Если сервер вредоносных программ недоступен (компьютер не подключен к Интернету, удаленный хакерский сервер не работает), то шифровальный инструмент использует зашитые в нем ключ и идентификатор и выполняет офлайн-шифрование. В этом случае можно будет расшифровать файлы без уплаты выкупа. Ioqa Ransomware создает _readme.txt файл, содержащий сообщение о выкупе и контактные данные, на рабочем столе и в папках с зашифрованными файлами. С разработчиками можно связаться по электронной почте: support@freshmail.top и datarestorehelp@airmail.cc.