Ransomware

Если вы подверглись атаке вируса, ваши файлы зашифрованы, недоступны и .hhmm расширения, это означает, что ваш компьютер заражен Hhmm Ransomware (иногда называется STOP Ransomware or Djvu Ransomware, названный в честь .djvu расширение, которое изначально было добавлено к зашифрованным файлам). Этот вирус-шифровальщик был очень активен с 2017 года (.hhmm появился в середине февраля 2023 года) и нанес большой финансовый ущерб тысячам пользователей. К сожалению, отследить злоумышленников очень сложно, так как они используют анонимные TOR-сервера и криптовалюту. Однако с помощью инструкций, приведенных в этой статье, вы сможете удалить Hhmm Ransomware и вернуть свои файлы. Hhmm Ransomware создает _readme.txt файл, который называется «запиской о выкупе» и содержит инструкции по оплате и контактные данные. Вирус помещает его на рабочий стол и в папки с зашифрованными файлами. С разработчиками можно связаться по электронной почте: support@freshmail.top и datarestorehelp@airmail.cc.

Vvoo Ransomware это условное название, данное экспертами по безопасности, для последней версии STOP/Djvu Ransomware, который добавляет .vvoo расширения к файлам. STOP Ransomware — это широко распространенная, долгоживущая инфекция-вымогатель, активная с 2017 года. Поскольку она использует криптографическое шифрование RSA-1024 и онлайн-ключ (в большинстве случаев), прямое дешифрование с использованием выпущенных дешифраторов в настоящее время неэффективно. Однако некоторые методы восстановления файлов, представленные в этой статье, могут помочь вам восстановить некоторые файлы или даже все данные. Если ваши файлы были зашифрованы автономным ключом (2-3% всех случаев), 100% расшифровка становится возможной с STOP Djvu Decryptor от EmsiSoft, представленный на странице ниже. Как правило, Vvoo Ransomware создает записку с требованием выкупа. _readme.txt, который содержит условия расшифровки, сумму выкупа и контактные данные.

PYAS классифицируется как программа-вымогатель. Эта вредоносная часть программного обеспечения предназначена для шифрования данных, хранящихся в системе, и удержания их в заложниках, чтобы заставить пользователей платить выкуп. Название этого файлового шифровальщика происходит от .PYAS расширение, которое присваивается каждому затронутому файлу во время шифрования. Например, такой файл 1.pdf изменится на 1.pdf.PYASи так далее с другими данными. После успешного шифрования вирус сбрасывает README.txt текстовая заметка с инструкциями по расшифровке. В примечании содержится краткий текст, в котором говорится, что все типы важных данных были зашифрованы и что жертвам необходимо связаться с вымогателем (-ами) через платформу Discord (имя пользователя «mtkiao129#2443»), чтобы получить расшифровку файлов. Как правило, киберпреступники, стоящие за заражением программами-вымогателями, стремятся вымогать деньги у жертв, поэтому маловероятно, что PYAS является исключением. Крайне не рекомендуется платить выкуп или предоставлять конфиденциальную информацию злоумышленникам.

Vvmm Ransomware это вирус, который выполняет шифрование данных и требует от жертв уплаты выкупа за его возвращение. Он происходит из STOP/Djvu семейства, которое разрабатывает и выпускает множество версий программ-вымогателей каждый месяц. По сути, все STOP/Djvu файловые шифраторы имеют практически одинаковые характеристики – они изменяют файлы с расширениями, взятыми из их имен, и создают практически одну и ту же заметку, содержащую инструкции по расшифровке (_readme.txt). Этот вариант программы-вымогателя называется Vvmm, что означает, что он изменяет зашифрованные файлы с помощью .vvmm расширения. К примеру, файл вроде 1.pdf изменится на 1.pdf.vvmm, 1.png в 1.png.vvmmи так далее с другими затронутыми данными. После того, как этот процесс завершится и все целевые файлы станут недоступны, жертвы увидят инструкции по расшифровке, представленные внутри файла. _readme.txt записки.

Mimic это название вируса-вымогателя, который шифрует доступ к данным, добавляет .QUIETPLACE расширение, и в конечном итоге требует от жертв платить выкуп за расшифровку. Этот вирус является одним из вариантов среди других файловых шифровальщиков, разработанных предположительно теми же киберпреступниками. Известно, что в других версиях назначаются такие расширения, как .HONESTBITCOIN, .Fora, .PORTHUB, .KASPERSKY или расширения, состоящие из 5-10 случайных символов. Во время шифрования вредоносное ПО будет нацелено на все потенциально важные типы файлов и сделает их недоступными, запустив надежное алгоритмическое шифрование. Как уже упоминалось, Mimic Ransomware также добавляет свои собственные .QUIETPLACE расширение, что означает файл типа 1.pdf скорее всего изменится на 1.pdf.QUIETPLACE, и так далее. После этого Mimic отобразил две идентичные заметки о выкупе — одну перед экраном входа в систему и вторую в текстовом файле с именем Decrypt_me.txt.

NEVADA — вирус-вымогатель, который шифрует данные в операционных системах Windows и Linux и призывает жертв платить деньги за его расшифровку и неразглашение собранной информации. В момент шифрования доступа к данным вирус также присваивает .NEVADA расширение для затронутых файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.NEVADA сбросится его значок и его больше нельзя будет использовать. После этого вредоносное ПО создает readme.txt - текстовую заметку с инструкциями по расшифровке. Киберпреступники, стоящие за NEVADA Ransomware, могут различаться, поскольку этот шифровальщик файлов открыт для покупки другими злоумышленниками (программа-вымогатель как сервисная модель).

Erop — это новый вариант программы-вымогателя из семейства STOP/Djvu. Вредоносное ПО такого рода предназначено для шифрования данных пользователей и вынуждает жертв платить деньги за их расшифровку. Помимо того, что целевые файлы становятся недоступными после шифрования, целевые файлы также изменяются визуально — получая новый .erop . К примеру, такой файл, как 1.pdf изменится на 1.pdf.erop и становятся недоступными. Как только успешное шифрование подходит к концу, Erop создает текстовую заметку под названием _readme.txt который содержит рекомендации по расшифровке. Это название записки о выкупе является довольно общим и использовалось и в других вариантах STOP/Djvu, только с небольшими различиями в контактной информации киберпреступников. В этой записке жертвам сообщают, что необходимо приобрести специализированное программное обеспечение для расшифровки за 980 долларов (или 490 долларов, если оплатить в течение 72 часов после заражения). При установлении связи по электронной почте с мошенниками жертвы также могут прикрепить 1 зашифрованный файл, не содержащий никакой ценной информации, который злоумышленники бесплатно расшифруют.

Nigra это имя недавно обнаруженного шифровальщика файлов, который считается вариантом Sojusz Ransomware. Киберпреступники, стоящие за успешной атакой, шифруют доступ к данным, а затем пытаются вымогать деньги у жертв за расшифровку. Файлы, зашифрованные этой инфекцией, скорее всего, будут изменены в соответствии с этим шаблоном. [victim's ID>].[cybercriminals' e-mail address] или [ID жертвы>].[имя файла] и .nigra расширение в конце. Это означает, что затронутый файл может выглядеть так .[9347652d51].[nigra@skiff.com].nigra или еще мудрый. Обратите внимание, что процесс добавления нового расширения к исходным именам файлов является лишь визуальной формальностью и никак не меняет факта шифрования файлов. После завершения шифрования вирус оставляет текстовый файл с инструкциями по расшифровке на рабочем столе жертвы. Название текстовой заметки от Nigra Ransomware еще не было обнародовано, однако, вероятно, оно совпадает или похоже на эти примеры. -----README_WARNING-----.txt, #_README-WARNING_#.TXT, README_WARNING_.txt,!!!HOW_TO_DECRYPT!!!.txt, #HOW_TO_DECRYPT#.txt, #HOW_TO_DECRYPT#.txt.