Ransomware

Erqw Ransomware — это тип вредоносного ПО, которое шифрует файлы жертвы и требует выкуп в обмен на ключ дешифрования. Он принадлежит к семейству STOP Ransomware, который начал свою деятельность в 2017 году. Эта конкретная версия появилась в начале февраля 2023 года. Вредоносная программа обычно распространяется через фишинговые электронные письма, загрузки вредоносного программного обеспечения или использование уязвимостей в компьютере или сети жертвы. Как только вредоносная программа заражает систему, она шифрует файлы жертвы и добавляет .erqw расширение имен файлов. Затем злоумышленники потребуют выкуп, часто в виде криптовалюты, в обмен на ключ дешифрования. Контактные данные и дополнительная информация указаны в файле с требованием выкупа (_readme.txt). Платить выкуп не рекомендуется, так как нет гарантии, что злоумышленники действительно предоставят ключ расшифровки. Кроме того, выплата выкупа поддерживает преступную деятельность и может сделать вас мишенью для будущих атак. Вместо этого жертвы Erqw Ransomware должны сосредоточиться на удалении вредоносного ПО из своих систем и восстановлении своих файлов из резервной копии, если это возможно. Если вы не знаете, как это сделать, прочтите эту статью от нашей команды доверенных ИТ-специалистов и экспертов по кибербезопасности.

Пресловутый STOP Ransomware продолжает свое распространение с небольшими изменениями. С конца января 2023 года появилось новое расширение: .assm. Он шифрует файлы жертв так же, как сотни его предшественников. STOP Ransomware успевает заразить каждой версией десятки тысяч компьютеров, а новые версии появляются несколько раз в неделю. В то же время он распределяет AZORult trojan-stealer, похищающий конфиденциальную информацию. Он способен воровать различные пользовательские данные: информацию из файлов, историю браузера, пароли, файлы cookie, учетные данные онлайн-банкинга, криптовалютные кошельки и многое другое. Вирус изменяет файл hosts, чтобы блокировать обновления Windows, антивирусные программы и сайты, связанные с новостями безопасности, продающие антивирусное программное обеспечение. Эта версия STOP Ransomware по-прежнему использует следующие адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc. Программа-вымогатель Assm создает _readme.txt файл с запиской о выкупе.

Sickfile Ransomware — это вредоносная инфекция, которая использует надежное шифрование, чтобы держать данные жертв в заложниках и шантажировать их, заставляя платить деньги за их расшифровку. Если ваши файлы приобрели новый .sickfile расширение и потеряли свои значки, то это, вероятно, признак того, что они были успешно зашифрованы. how_to_back_files.html Именно в этом файле киберпреступники впоследствии объясняют, как отменить действие шифрования, т. е. вернуть доступ к данным. Вот полный текст, представленный в примечании. В целом, злоумышленники говорят, что расшифровка возможна, если жертвы свяжутся с мошенниками и заплатят за специальное программное обеспечение для расшифровки. Связь должна быть установлена ​​либо по прикрепленной ссылке, либо по одному из указанных адресов электронной почты. Говорят, что в случае, если жертвы не смогут связаться с киберпреступниками в течение 72 часов, цена за расшифровку будет выше. Кроме того, вымогатели угрожают слить зашифрованные данные в общедоступные ресурсы или продать их сторонним лицам в случае, если оплата в конечном итоге не будет произведена.

Bitenc — это новый файловый шифратор из семейства программ-вымогателей Mallox. Вредоносные программы этого типа предназначены для шифрования файлов жертв и требуют оплаты в обмен на ключ дешифрования. Как только Bitenc Ransomware заражает систему, она сканирует систему на наличие потенциально важных типов файлов (например, документов, изображений, видео и т. д.) и записывает безопасные шифры поверх целевых данных. Кроме того, вирус также добавляет свой пользовательский .bitenc расширением. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.bitenc и становятся недоступными. Добавление новых расширений обычно делается для того, чтобы просто выделить заблокированные данные и заставить жертв заметить последствия шифрования. После успешного шифрования разработчики Bitenc Ransomware представляют свои требования о выкупе в FILE RECOVERY.txt текстовая заметка, которая создается на рабочем столе жертвы.

Баддирансом это вирус-вымогатель, который работает путем шифрования доступа к данным. Киберпреступники используют его возможности для ограничения потенциально важных файлов и шантажа жертв, заставляя их платить деньги за полную расшифровку. Жертвы могут увидеть вредоносное изменение, как только целевые файлы будут изменены с помощью нового .buddyransome расширение — например, файл вида 1.pdf изменится на 1.pdf.buddyransome и сбросить исходный значок после успешного шифрования. После этого появится текстовая заметка, содержащая инструкции по расшифровке (HOW_TO_RECOVERY_FILES.txt) будет создан. По словам пострадавших, все значимые данные были зашифрованы и теперь могут быть опубликованы на онлайн-ресурсах. Чтобы предотвратить это и расшифровать заблокированные данные, киберпреступники предписывают написать электронное письмо на адрес buddyransome@aol.com и указать свой личный идентификатор, скопировав его из сгенерированной заметки. После этого злоумышленники должны сообщить цену за расшифровку/неразглашение данных и предоставить инструкции по оплате.

Смерть Тени — вирус-вымогатель, который шифрует доступ к системным файлам (используя алгоритмы AES+RSA) и требует от жертв платить деньги за расшифровку. При шифровании он также присваивает .Death_Of_Shadow расширение, чтобы выделить заблокированные данные. Например, такой файл 1.pdf изменится на 1.pdf.Death_Of_Shadow и стать недоступным. После того, как все целевые файлы будут ограничены, вирус создает текстовую заметку под названием (Малакот@protonmail.com).txt or (malakot@tutanota.com).txt в зависимости от того, какая версия программы-вымогателя атаковала систему. В текстовой заметке киберпреступники излагают инструкции по расшифровке для своих жертв. В целом, говорят, что жертвы должны связываться с вымогателями через свой адрес электронной почты. После этого жертвам предположительно будут даны дополнительные инструкции о том, как платить деньги и возвращать файлы. Как правило, большинство киберпреступников требуют выплаты выкупа в криптовалюте, поскольку это неотслеживаемый и безопасный способ получения мошеннических доходов. Кроме того, злоумышленники предлагают протестировать свои дешифровальные способности, подразумевая, что жертвы могут отправить файл (не представляющий ценности и размером до 10 МБ) и бесплатно получить его расшифровку. Текст в записке о выкупе также предупреждает, что если жертвы не вступят в контакт с киберпреступниками в течение 48 часов, расшифровка файлов будет невозможна.

Если ваши файлы стали недоступны, появились странные значки и появились .mztu расширения, это означает, что ваш компьютер был поражен Mztu Ransomware (также STOP Ransomware or Djvu Ransomware). Это чрезвычайно опасный и вредоносный вирус-шифровальщик, который шифрует данные на компьютерах жертв и вымогает выкуп в размере 490/960 долларов США в криптовалюте для оплаты на анонимный электронный кошелек. Если у вас не было резервных копий до заражения, есть всего несколько способов вернуть ваши файлы с низкой вероятностью успеха. Тем не менее, их стоит попробовать, и мы опишем их все в следующей статье. В текстовом поле ниже вы можете ознакомиться с содержимым _readme.txt файлом, который специалисты по безопасности называют «запиской о выкупе» и служит одним из симптомов заражения. Из этого файла пользователи получают информацию о технологии, стоящей за расшифровкой, цене расшифровки и контактных данных авторов этого вредоносного ПО.

Mzqw Ransomware (псевдонимы: Djvu Ransomware, STOP Ransomware) — чрезвычайно опасный вирус-шифровальщик файлов, который вымогает деньги в обмен на расшифровщик. Программа-вымогатель использует надежный алгоритм шифрования AES-256 и делает файлы непригодными для использования без главного ключа дешифрования. Конкретное вредоносное ПО в этом обзоре появилось в конце января 2023 года и добавляет .mzqw расширения к файлам. В результате файл example.jpg превращается в example.jpg.mzqw. Mzqw Ransomware создает специальный текстовый файл, который называется _readme.txt, где хакеры предоставляют контактные данные, общую информацию о шифровании и варианты расшифровки. Угроза размещает его на рабочем столе и в папках с зашифрованными файлами. С киберпреступниками можно связаться по электронной почте: support@freshmail.top и datarestorehelp@airmail.cc.