Ransomware

Если ваши файлы невозможно открыть и теперь они отображаются с новым .MEOW расширение (тогда .ПУТИН, .КРЕМЛЬ и .РОССИЯ расширения), то вы, скорее всего, заражены Meow Ransomware (также известный как MeowCorp2022 Ransomware и ContiStolen Ransomware). Этот шифровальщик файлов блокирует доступ практически ко всем типам хранящихся в системе данных с помощью алгоритма ChaCha20 и требует от жертв установления контакта с его разработчиками (предположительно, для оплаты расшифровки). Кроме того, также было установлено, что этот вымогатель работает на основе кода, украденным из другого популярного файлового шифровальщика по имени Conti-2 Ransomware. Информацию о контактах с мошенниками можно найти внутри текстовой заметки под названием readme.txt, которую вирус закидывает в каждую папку с зашифрованными файлами.

Loplup это вирус-шифровальщик, который является частью популярного семейства программ-вымогателей под названием ZEPPELIN . Во время ограничения доступа к системным данным, он также переименовывает атакуемые файлы, добавляя пользовательское расширение .loplup.[victim's_ID] . Это значит, что файл, ранее носивший название 1.pdf изменится на что-то вроде 1.pdf.loplup.312-A1A-FD7. Обратите внимание, что идентификатор жертвы является переменным, поэтому в вашем случае он может отличаться. После успешного шифрования данных Loplup создает текстовый файл (!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT ), который содержит рекомендации по расшифровке.

FirstKill это вирус-вымогатель, предназначенный для шифрования данных пользователей и шантажа жертв, заставляющих их платить финансовый выкуп за их восстановление. Он использует алгоритмы военного уровня AES и RSA для надежного шифрования и предотвращения повторного доступа жертв к своим файлам. Во время этого процесса FirstKill также переименовывает все целевые файлы с .FirstKill расширение и сбрасывает их исходные значки на пустые. Например, ранее нетронутый файл, такой как 1.pdf изменится на 1.pdf.FirstKill и становятся недоступными. После этого вирус создает текстовую заметку под названием CO_SIĘ_STAŁO.html который содержит инструкции по расшифровке данных.

ChinaHelper это вирус-вымогатель, предназначенный для шифрования личных данных и шантажа жертв, заставляющих их платить выкуп. Ограничивая доступ к данным с помощью алгоритмов AES-256 и RSA-2048, вирус присваивает .cnh расширение, чтобы файл типа 1.pdf превращается в 1.pdf.cnh, например. Следующее, что делает ChinaHelper, — это создает текстовую заметку под названием README.txt. Существует также другой вариант, обнаруженный в более позднем дистрибутиве, которому присвоено .cnhelp or .charm расширение для файлов и создал HOW_TO_RETURN_FILES.txt файл вместо этого.

Bom — это название вируса-вымогателя. Вредоносные программы этой категории шифруют хранящиеся в системе данные и требуют от жертв оплаты за их возврат. Этот вариант программы-вымогателя также является побочным продуктом Семейство VoidCrypt. Во время шифрования вирус переименовывает все целевые файлы в соответствии с этим примером - 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. Ваши переименованные файлы могут немного отличаться (например, другая строка символов), но основа останется прежней. После успешного ограничения доступа к данным программа-вымогатель создает текстовую заметку под названием Scratch - дать рекомендации по расшифровке.

DASHA Ransomware это новый вариант Eternity Ransomware. Эта вредоносная программа предназначена для шифрования данных, хранящихся в системе, и требует денег за их расшифровку. Ограничивая доступ к файлам (например, фотографиям, видео, документам, базам данных и т. д.), вирус изменяет внешний вид файлов с .ecrp расширение. Например, файл, ранее названный 1.pdf поэтому изменится на 1.pdf.ecrp и становятся недоступными. Как только этот процесс подходит к концу и все целевые файлы в конечном итоге переименовываются, DASHA заменяет обои рабочего стола и отображает всплывающее окно с инструкциями по выкупу.

Loki Locker — это название вируса-вымогателя, предназначенного для вымогательства денег у жертв путем надежного шифрования данных. Он использует комбинацию алгоритмов AES-256 и RSA-2048, а также изменяет имена зашифрованных данных в соответствии с этим шаблоном — [][]original_file.Loki. К примеру, файл, ранее имевший название 1.pdf изменится на [DecNow@TutaMail.Com][C279F237]1.pdf.Loki и больше не будет доступным. Стоит отметить, что есть и более новые версии Loki Locker, которые переименовывают данные с помощью .Rainman, .Adair, .Boresh, .PayForKeyили .Spyro расширений. После успешной блокировки данных вирус создает два файла (Restore-My-Files.txt и info.hta) с аналогичными инструкциями о требовании выкупа. Также, Loki Locker также заменяет и обои рабочего стола, где написаны краткие шаги того, что нужно сделать.

Будучи новым вариантом Программы-вымогателя PGPCoder, LOL! также предназначен для шифрования данных, хранящихся в системе, с помощью асимметричных алгоритмов RSA и AES. Такие алгоритмы часто очень сильны, что делает ручную расшифровку практически невозможной, однако это еще предстоит подробно обсудить ниже. При шифровании вирус также добавляет свой .LOL! расширение для каждого затронутого файла. Например, если бы это было 1.pdf атакован шифровальщиком, он изменится на 1.pdf.LOL! и становятся непригодными для использования. Как только все целевые файлы оказываются ограниченными в доступе, вирус сбрасывает get data.txt файл в каждую папку, содержащую зашифрованные данные (включая рабочий стол). Этот файл предназначен для объяснения того, что произошло, и, что наиболее важно, для жертв в процессе восстановления.