Ransomware

Будучи частью Djvu и STOP семейства вирусов Zouu Ransomware — файлошифрующий вирус, который бродит по сети с середины января 2023 года. На самом деле разработчики распространяют множество версий, которые отличаются друг от друга расширениями, электронной почтой киберпреступников и другими деталями. Существует более 600 расширений, которые STOP Ransomware использовали для атаки на данные пользователя. В нашем случае STOP Ransomware добавляет .zouu расширение файлов, чтобы они стали зашифрованными. Например, что-то вроде 1.mp4 будет переименован в 1.mp4.zouu и сбросить его значок по умолчанию после заражения. Последовательно программа создает заметку под названием _readme.txt который содержит информацию о выкупе. Обычно сгенерированный контент для всех типов программ-вымогателей очень похож.

Zoqw Ransomwareбудучи частью STOP Ransomware критический вирус, угрожающий личным файлам пользователя. Он принадлежит к семейству вредоносных программ для шифрования файлов, использующих алгоритм AES (Salsa20) и небьющийся ключ. Этот вирус иногда называют Djvu Ransomware, после слова, использовавшегося как расширение в первых версиях (.djvu). Описываемый сегодня вариант угрозы изменяет файлы с .zoqw расширение появилось в первой половине января 2023 года и действует точно так же по сравнению с десятками предыдущих версий. Файлы зашифрованы безопасным ключом, и вероятность их полной расшифровки довольно мала, особенно если использовался онлайн-ключ. Однако некоторые ручные методы и автоматические инструменты, описанные в этой статье, могут помочь вам в успешной расшифровке некоторых данных. В текстовом поле ниже вы можете найти «примечание о выкупе» — небольшой текстовый файл с кратким описанием вируса и инструкциями по уплате выкупа.

Одной из основных угроз компьютерной безопасности сегодня являются программы-вымогатели. Это разрушительные компьютерные вирусы, которые шифруют файлы пользователей с помощью различных криптографических алгоритмов и вымогают деньги за ключ дешифрования. Он особенно чувствителен для пользователей, поскольку атакует либо личные файлы, такие как видео, фотографии, музыку, либо бизнес-данные, такие как форматы файлов MS Office, электронные письма, базы данных. Такие файлы могут иметь решающее значение для работы бизнеса или быть чрезвычайно важными лично как часть семейной памяти. Злоумышленники могут потребовать от нескольких сотен до нескольких тысяч долларов в качестве выкупа. STOP Ransomware официально является самой распространенной и, следовательно, самой опасной угрозой-вымогателем. За 650 лет появилось более 5 версий этого вируса. Каждая вариация заражает тысячи компьютеров, и миллионы жертв этой зловредной вредоносной программы. В этой статье мы расскажем о типичных методах борьбы с программами-вымогателями Bpto и расшифровки зараженных файлов. Сегодня в фокусе версии STOP (Djvu), добавляющие .bpto расширения. Недавние образцы используют очень похожий шаблон для проникновения на ПК и шифрования файлов. После шифрования программа-вымогатель создает файл (примечание о выкупе) под названием _readme.txt.

Theva — это название вируса-вымогателя, который шифрует хранящиеся в системе данные и требует от жертв платить деньги в биткойнах за их расшифровку. Во время шифрования целевые файлы в конечном итоге визуально изменяются — например, 1.pdf изменится на 1.pdf.[sql772@aol.com].theva и так далее с другими файлами. После успешной блокировки данных Theva Ransomware представляет свои инструкции по расшифровке в текстовом документе под названием #_README_#.inf. Он также меняет обои рабочего стола жертв. Для восстановления данных жертвам предлагается связаться с киберпреступниками по указанному адресу электронной почты (sql772@aol.com) и заплатить выкуп в криптовалюте биткойн. Говорят, цена расшифровки зависит от того, насколько быстро жертвы установят контакт с мошенниками. После успешной оплаты злоумышленники обещают отправить необходимый инструмент дешифрования, который разблокирует все заблокированные данные.

Eternity это вирус-вымогатель, который был обнаружен Cyble исследователи. Это вредоносное ПО относится к семейству вредоносных программ Eternity и предназначено для вымогательства денег у жертв путем шифрования потенциально ценных данных (с помощью безопасных криптографических алгоритмов AES и RSA). Dasha — еще один популярный вариант программы-вымогателя из этого семейства. Есть две известные версии Eternity — одна не изменяет файлы визуально, а другая назначает .ecrp расширение имен файлов и изменяет оригинальные значки. Например, 1.pdf может либо остаться прежним, либо стать 1.pdf.ecrp после шифрования в зависимости от того, какая версия программы-вымогателя атаковала систему. После успешного завершения шифрования Eternity отображает всплывающее окно с инструкциями по расшифровке. Поскольку Eternity Ransomware является общедоступным вирусом «Вредоносное ПО как услуга» (MaaS), который могут купить многие злоумышленники, содержание инструкций (контактные данные, размер выкупа, обратный отсчет и т. д.) также может незначительно отличаться. Ниже приведены примеры текстов с требованием выкупа от двух вариантов программы-вымогателя.

Black Hunt является вредоносной инфекцией, классифицируемой как программа-вымогатель. После проникновения он начинает шифровать данные, а затем шантажирует жертв, заставляя их платить за расшифровку (в #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt записки о выкупе). Во время шифрования вирус также присваивает идентификатор жертвы, адрес электронной почты киберпреступника и .black расширение для затронутых файлов. Для иллюстрации файл, первоначально названный 1.pdf изменится на что-то вроде 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] а также получить новый значок «Черная охота». Также меняются обои рабочего стола. Внутри примечания о выкупе киберпреступники заявляют, что у жертв есть 14 дней, чтобы связаться с ними по электронной почте и купить уникальный ключ для расшифровки. По словам злоумышленников, если крайний срок не будет соблюден, они начнут продавать или передавать собранные данные различным третьим сторонам. Жертвы могут просмотреть свою «ситуацию с данными» по предоставленной ссылке TOR.

ScareCrow — это вирус-вымогатель, который впервые появился на радарах вредоносных программ в 2019 году. С тех пор программа-вымогатель претерпела несколько незначительных изменений и обновлений. Например, в зависимости от того, какие версии ScareCrow атаковали систему, либо .scrcrw or .CROW расширения будут присвоены целевым файлам. Заражение программами-вымогателями предназначено для шифрования потенциально ценных данных и блокирования их до тех пор, пока жертвы не выполнят требования киберпреступников о выплате выкупа. ScareCrow использует комбинацию криптографических алгоритмов AES и RSA для тщательного шифрования данных. После успешного закрытия файлов вирус автоматически открывает всплывающее окно с инструкциями по расшифровке. Обратите внимание, что уплата выкупа может быть не обязательной — жертвам рекомендуется связаться с авторитетным исследователем программ-вымогателей. Майкл Гиллеспи и расшифруйте файлы ScareCrow бесплатно.

Лукнайт (ETH) or ЛакнайтВыкуп — это вирус-вымогатель, который недавно был проверен исследователями вредоносных программ. Целью этого типа вредоносных программ является шифрование потенциально важных данных и удержание их в заложниках до тех пор, пока жертвы не заплатят деньги за выкуп. Во время шифрования этот вымогатель также назначает .лакнит расширение для каждого целевого файла. Например, первоначально названный 1.pdf изменится на 1.pdf.lucknite и потерять значок ярлыка после шифрования. После этого киберпреступники размещают инструкции по расшифровке в README.txt Примечание. Иногда содержание выкупа может незначительно отличаться в зависимости от того, какая версия программы-вымогателя затронула систему.