Ransomware

SkullLocker — это новый вариант программы-вымогателя. Исследования показывают, что он был разработан на основе Chaos Ransomware — еще одной разрушительной и хорошо известной инфекции. При успешном проникновении SkullLocker шифрует доступ к файлам, добавляет свои .skull расширение и создает записку о выкупе (read_it.txt) с инструкциями по расшифровке, написанными на польском языке. Вот полный текст, представленный в заметке, вместе с его переводом на английский язык. В целом киберпреступники требуют, чтобы пользователи произвели оплату в течение 72 часов, иначе данные будут безвозвратно утеряны. Пользователей просят ознакомиться с деталями оплаты и восстановления по прикрепленной ссылке TOR. Кроме того, в примечании не рекомендуется пытаться восстанавливать файлы вручную, так как это может привести к необратимому повреждению файлов.

Coaq Ransomware это подтип STOP Ransomware (или DJVU Ransomware) и обладает всеми характеристиками этого семейства вирусов. Вредоносное ПО блокирует доступ к данным на компьютерах жертвы, шифруя их с помощью алгоритма шифрования AES. STOP Ransomware — одна из самых долгоживущих программ-вымогателей. Первые заражения были зарегистрированы в декабре 2017 года. Coaq Ransomware с таким суффиксом является еще одним его поколением и добавляет .coaq расширения к зашифрованным файлам. После шифрования вредоносная программа создает файл с запиской о выкупе: _readme.txt на рабочем столе и в папках с закодированными файлами. В этом файле хакеры предоставляют информацию о расшифровке и контактные данные, такие как электронные письма: support@freshmail.top и datarestorehelp@airmail.cc.

Новые экземпляры STOP Ransomware (DjVu Ransomware) продолжают повреждать файлы пользователей по всему миру. STOP/Djvu Ransomware — это особый тип программ-вымогателей, который активен с 2017 года. Это тип вредоносного ПО для шифрования файлов, которое шифрует файлы жертв и требует оплаты в обмен на ключ дешифрования. Этот криптовирус использует сложный алгоритм шифрования AES, чтобы блокировать доступ пользователей к их данным и вымогать выкуп в размере 490 или 980 долларов. Одна из новых вариаций расширения, появившихся в октябре 2022 года, это: .cosw. Соответствующая программа-вымогатель получила название Cosw Ransomware. Вирус добавляет такие суффиксы в конец зашифрованных файлов. Если ваши файлы получили такое окончание и недоступны, это означает, что ваш компьютер заражен STOP Ransomware. Разработчики вредоносных программ технически немного модифицируют вирус.

Goba Ransomware, который на самом деле является следующим поколением STOP Ransomware появился в начале марта 2023 года. Этот вирус шифрует важные файлы пользователей, такие как документы, фотографии, базы данных, музыку, с помощью шифрования AES и добавляет .goba расширения к затронутым файлам. Эта программа-вымогатель практически идентична многочисленным предыдущим версиям вредоносной программы, описанной нами ранее, принадлежит тем же авторам и использует те же адреса электронной почты (support@freshmail.top и datarestorehelp@airmail.cc) и те же биткойн-кошельки. Полная расшифровка практически невозможна, однако частично ваши данные можно восстановить по инструкции в этой статье. После завершения работы вирус создает _readme.txt файл с запиской о выкупе на рабочем столе и в папках с затронутыми файлами.

Если ваши файлы были внезапно изменены с помощью .wannasmile расширения (например, 1.pdf.wannasmile) и теперь вы видите сообщение с требованием выкупа во всплывающем окне, то, скорее всего, вы имеете дело с WannaSmile Ransomware. Хотя для этого нет достаточных оснований, WannaSmile может быть новой версией другого одноименного шифровальщика 2017 года (иранских разработчиков), которому присваивалось .WSmile расширение. Как правило, такое вредоносное ПО обычно предназначено для того, чтобы сделать данные недоступными (посредством шифрования), а затем вымогать деньги у жертв за их расшифровку.

Разработанный Djvu семейства, Goaq Ransomware — вредоносная программа, выполняющая обширное шифрование личных данных. Он использует популярные, но надежные алгоритмы для строгой блокировки хранимых файлов. Таким образом, это не позволяет пользователям успешно выполнять расшифровку вручную. Зная, что пользователи не смогут самостоятельно восстановить файлы, злоумышленники предлагают расшифровать данные с помощью их инструментов за определенную сумму денег. Детали, которые представлены внутри текстовой заметки, называемой _readme.txt, который создается после того, как Goaq присваивает данным новые расширения. В частности, он добавляет .гоак расширение, чтобы зашифрованные файлы выглядели примерно так 1.pdf.goaq. Как только такие изменения будут внесены, пользователи потеряют доступ к своим данным.

Эта статья содержит информацию о Gosw Ransomware версии STOP Ransomware которая добавляет .gosw расширения к зашифрованным файлам и создает файлы заметок о выкупе на рабочем столе и в папках с затронутыми файлами. К сожалению, алгоритм шифрования этого вымогателя в настоящее время не поддается взлому, но есть небольшие шансы восстановить ваши файлы, которые мы описываем в этом тексте. Gosw Ransomware активно распространяется в следующих странах: США, Канада, Испания, Мексика, Турция, Египет, Бразилия, Чили, Эквадор, Венесуэла, Германия, Польша, Венгрия, Индонезия, Таиланд. Эта вариация впервые появилась в начале марта 2023 года и практически идентична предыдущим десяткам вариаций. Вирус-вымогатель по-прежнему использует алгоритм шифрования AES и по-прежнему требует выкуп в биткойнах за расшифровку.

Alice Ransomware — вредоносная программа, предназначенная для шифрования личных данных пользователей и вымогательства денег за их расшифровку. Шифруя доступ к файлам с помощью безопасных алгоритмов, файл-шифратор также присваивает .alice расширение для зашифрованных данных. Например, такой файл 1.pdf скорее всего изменится на 1.pdf.alice и сброситься его первоначальный значок. Многие программы-вымогатели присваивают собственное расширение, чтобы отличить зашифрованные файлы и заставить пользователей заметить изменение. Инструкции по возврату файлов представлены в How To Restore Your Files.txt текстовый файл, который создается после успешного шифрования. Эта текстовая заметка содержит рекомендации, написанные на русском языке, что указывает на то, что этот шифратор предназначен в основном для русскоязычных пользователей. Стоит отметить, что Алиса была распространена в двух вариантах с немного различающимся текстом записки о выкупе.