Ransomware

OBZ — это вирус-вымогатель, который шифрует доступ к данным и шантажирует жертв, заставляя их платить деньги за расшифровку. Во время шифрования вирус изменяет целевые файлы с .OBZ расширением. Например, файл, первоначально названный 1.pdf превратится в 1.pdf.OBZ or 1.pdf.obz в зависимости от того, какая версия вымогателя проникла в систему. Кроме того, жертвы также сообщали, что видели вредоносный процесс с именем Traffic Light в диспетчере задач Windows. Как только процесс шифрования подходит к концу, OBZ Ransomware создает текстовый документ (ReadMe.txt), который содержит инструкции по расшифровке. Стоит отметить, что содержание этой записки о выкупе идентично другим ранее обнаруженным U2K и MME программа-вымогатель, что может свидетельствовать о том, что ОБЗ разработан одной и той же группой разработчиков.

CryWiper это разрушительный вирус, который повреждает конфигурацию данных, делая их недоступными, а затем требует деньги от жертв за фальшивую расшифровку. Разработчики CryWiper маскируют свое ПО под программу-вымогатель, шифрующую данные, однако на самом деле это программа для очистки данных, которая просто портит файлы. Во время «шифрования» вирус удаляет все теневые копии с корневого диска и добавляет новые .CRY расширение для выделения файлов. Например, файл, первоначально названный 1.pdf превратится в 1.pdf.CRY и становятся необратимо поврежденными. После этого CryWiper создает файл с именем README.txt с вводящими в заблуждение инструкциями по расшифровке. Известно, что CryWiper не повреждает файлы .exe, .dll, .lnk, .msi, .sys и другие, хранящиеся в каталогах Boot, System и Windows. Кроме того, было замечено, что этот вирус также распространяется через browserupdate.exe вредоносный файл, написанный на языке C++ и нацеленный на организации, локализованные в России.

Beijing представляет собой заражение, классифицируемое как программа-вымогатель, которое шифрует доступ к данным и требует, чтобы жертвы платили деньги за его расшифровку. Этот файловый шифратор также, вероятно, выпущен теми же киберпреступниками, которые ранее разработали другую программу-вымогатель под названием LeakTheMall. Во время шифрования жертвы увидят визуальное изменение их файлов — это новый .beijing что в конечном итоге будет добавлено к ним. Например, первоначально названный 1.pdf изменится на 1.pdf.beijing и становятся недоступными. После этого вирус создает текстовые инструкции в !RECOVER.txt объясняя, что нужно сделать, чтобы восстановить данные.

Тригона — это название вируса-вымогателя, который шифрует данные корпоративных пользователей (например, компаний) и требует деньги за расшифровку файлов. Во время шифрования он добавляет новый ._заблокировано расширение (например, 1.pdf._locked) и создает файл с именем how_to_decrypt.hta после успешного завершения. Этот файл содержит инструкции с инструкциями о том, что должны сделать жертвы, чтобы расшифровать свои данные. Говорят, что вся важная информация, такая как документы, базы данных, локальные резервные копии и т. д., была зашифрована и утекла. Киберпреступники также отмечают, что расшифровка файлов невозможна без их непосредственного участия. Также упоминается, что данные тех, кто откажется сотрудничать с киберпреступниками, будут проданы лицам, потенциально заинтересованным в их злоупотреблении. Чтобы предотвратить все это, злоумышленники подсказывают жертвам открыть страницу расшифровки через браузер TOR и связаться с разработчиками программы-вымогателя.

Bazek это вирусная инфекция, которая обладает всеми чертами, присущими программам-вымогателям. Проще говоря, он шифрует доступ к данным (используя алгоритмы AES-256) и предлагает жертвам связаться с киберпреступниками, чтобы получить специальный ключ дешифрования. При шифровании вирус также присваивает новый .bazek расширение для каждого целевого файла. Для иллюстрации файл с именем 1.pdf изменится на 1.pdf.bazek а также потерять свой первоначальный значок. В зависимости от того, какая версия Bazek Ransomware атаковала компьютер, он либо создаст текстовую заметку под названием README.txt или вывести всплывающее окно с аналогичными инструкциями по расшифровке.

Также известный как Салливан, RansomBoggs это вирус-вымогатель, предназначенный для шифрования данных и последующего требования оплаты за расшифровку. Недавние исследования показали, что этот вирус неоднократно атаковал различные организации, размещенные в Украине. Во время шифрования RansomBoggs переименовывает все целевые файлы с .chsch расширение. Например, файл с первоначальным названием 1.pdf изменится на 1.pdf.chsch и становятся недоступными. После этого программа-вымогатель также создает собственную заметку (SullivanDecryptsYourFiles.txt) с инструкциями по расшифровке.

SEX3 представляет собой компьютерный вирус, классифицируемый как программа-вымогатель. Кроме того, было обнаружено, что это новая версия другого файлового шифровальщика под названием SATANA Программы-вымогатели. Программное обеспечение этого типа разработано для шифрования потенциально ценных данных и вынуждает владельцев файлов платить деньги за их расшифровку. Во время шифрования программа-вымогатель SEX3 запрограммирована на изменение целевых файлов с помощью .SEX3 расширение. Это просто визуальное изменение, чтобы выделить заблокированные данные поверх успешного шифрования. После этого вирус меняет обои рабочего стола, а также создает текстовую заметку с названием !satana!.txt который содержит краткие инструкции о том, как разблокировать доступ к файлам.

Onelock это вирус-вымогатель, разработанный семейством вымогателей Medusa. Его цель — шифровать доступ к потенциально важным данным (с помощью алгоритмов шифрования RSA и AES) и вымогать деньги у жертв за полную расшифровку. Делая файлы недоступными, вирус добавляет новые .onelock расширение, которое сделало бы файл как 1.pdf изменяя на 1.pdf.onelock и сбросьте его первоначальный значок. Тот же шаблон применим и к другим файлам, на которые нацелена инфекция. После успешного завершения Onelock создает how_to_back_files.html файл с инструкциями по расшифровке. В целом говорят, что разработчики программ-вымогателей — единственные, кто может расшифровать данные жертв. Для этого жертвам предлагается связаться с киберпреступниками, используя ссылку чата в браузере Tor (или по электронной почте), и заплатить определенную сумму выкупа.