Ransomware

Arai — вредоносная программа, которая нацелена на корпоративных пользователей для шифрования бизнес-данных и требует от жертв оплаты денег за их возврат. Ограничивая доступ к данным, вирус изменяет файлы с .araicrypt расширение, что также приводит к пустым значкам. Например, такой файл 1.pdf изменится на 1.pdf.araicrypt и потерять свой первоначальный значок. После этого данные становятся недоступными и больше не пригодными для использования. Следующим шагом Араи является создание текстовой заметки под названием READ_TO_RESTORE_YOUR_FILES.txt. В этой записке дается разъяснение того, что произошло и как жертвы могут оправиться от этого. Короче говоря, киберпреступники сообщают, что все важные данные (базы данных, данные клиентов и т. д.) были скопированы, а локальные резервные копии удалены. Также говорится, что в случае несоблюдения предоставленных инструкций жертвы потеряют возможность восстановить данные, а также пострадают как финансовые, так и репутационные — из-за потенциальной публикации данных, которая может последовать впоследствии. В противном случае пострадавшие должны связаться с мошенниками по одному из указанных адресов электронной почты и оплатить расшифровку (якобы дорого и в криптовалюте). В таком случае вымогатели обещают стереть собранные данные и не публиковать их.

Криптор это название вредоносного программного обеспечения, относящегося к категории программ-вымогателей. Его основное предназначение заключается в шифровании личных файлов и извлечении денег из жертв. Вирус начинает с ограничения доступа к ценным данным (фото, видео, документы, базы данных и т. д.). Он также изменяет все затронутые имена файлов с помощью .Kriptor расширение, чтобы выделить шифрование. Например, файл, ранее называвшийся 1.pdf изменится на 1.pdf.Kriptor а также сбросить его значок. После того, как эта часть выполнена, Kriptor создает текстовую заметку (read_it.txt), предназначенный для объяснения инструкций по расшифровке. Обои на рабочем столе также меняются. Утверждается, что жертвы имеют возможность связаться с киберпреступниками, используя один из следующих адресов электронной почты - leljicok@gmail.com или kkizuko@yandex.com и оплатить расшифровку в биткойнах. Точная цена остается в секрете и будет раскрыта после успешного выхода на мошенников. Разработчики программ-вымогателей также предлагают протестировать бесплатную расшифровку до оплаты платы за расшифровку — пользователям разрешается отправлять до 3 зашифрованных файлов и получать к ним полный доступ взамен. Таким образом киберпреступники пытаются создать дополнительный пузырь доверия, повышая вероятность того, что жертвы будут платить за расшифровку.

U2K это вирус-вымогатель, предназначенный для того, чтобы сделать файлы недоступными и вымогать у жертв плату за восстановление. Во время шифрования он присваивает .U2K расширение и сбрасывает значки всех затронутых файлов. Для иллюстрации файл с первоначальным названием 1.pdf изменится на 1.pdf.U2K а также потерять свой первоначальный значок. После завершения работы с шифрованием вирус запускает создание ReadMe.txt текстовая заметка. Эта заметка содержит инструкции о том, что должны сделать жертвы, чтобы вернуть заблокированные данные. Как указано в файле, единственный возможный способ расшифровать все данные — это приобрести уникальный дешифратор. Чтобы получить его, жертвам предлагается загрузить Tor Browser, перейти по прикрепленной ссылке на веб-сайт и отправить заявку в службу поддержки киберпреступникам. После начала переговоров вымогатели, скорее всего, объявят цену и проинструктируют жертв о дальнейших деталях оплаты. К сожалению, как показывает практика, многие повреждения (в первую очередь зашифрованные файлы) без помощи злоумышленников восстановить сложно.

Lilith — это вирус-вымогатель, который шифрует данные, хранящиеся в системе, и требует оплаты за расшифровку файлов. Делая файлы недоступными, вирус также добавляет новое .lilith расширение к каждому зараженному образцу. Например, файл с именем 1.pdf изменится на 1.pdf.lilith а также сбросится его первоначальный значок. После этого киберпреступники выкладывают инструкции по получению расшифровки в текстовой заметке под названием Restore_Your_Files.txt. Говорят, что у жертв есть три полных дня, чтобы связаться с разработчиками. Делать это нужно с помощью мессенджера Tox в Tor Browser. Если жертвы опоздают с выполнением этих требований, киберпреступники угрожают начать утечку собранных данных, предположительно, на даркнет-ресурсы. Хотя цена за дешифрование рассчитывается индивидуально в зависимости от того, сколько ценных данных было зашифровано, она все же может быть довольно высокой, учитывая склонность программ-вымогателей атаковать бизнес-организации.

JENNY — это имя нового файлового вируса, обнаруженного MalwareHunterTeam. Такие вредоносные программы обычно предназначены для ограничения доступа к данным и требуют от жертв уплаты выкупа в криптовалюте. После успешного проникновения в систему вирус шифрует важные фрагменты данных, а также присваивает .JENNY расширение. Это означает, что файл типа 1.pdf изменится на 1.pdf.JENNY и сбросит исходный значок на пустой. После того, как эта часть выполнена, вымогатель заменяет обои рабочего стола и показывает всплывающее окно прямо на экране. В отличие от других заражений программами-вымогателями, разработчики JENNY не предоставляют никаких инструкций по расшифровке. Жертвы остаются в замешательстве, поскольку у них нет абсолютно никакой контактной информации, которую можно было бы использовать для связи с киберпреступниками. Причиной этого может быть то, что эта программа-вымогатель все еще находится в стадии разработки и, вероятно, тестируется. Это означает, что расшифровка с помощью разработчиков невозможна и что полная версия JENNY может быть выпущена в будущем.

Программа-вымогатель BlueSky является разрушительным файловым шифровальщиком. Она ограничивает доступ к данным и требует от жертв уплаты сбора за их возврат. При шифровании системных данных вирус также присваивает .bluesky расширение для каждого затронутого образца. Например, файл с именем 1.pdf изменится на 1.pdf.bluesky и сбросит его первоначальный значок. С этого момента файлы больше не будут доступны. Чтобы заставить жертв платить выкуп, киберпреступники размещают идентичные инструкции по расшифровке в # DECRYPT FILES BLUESKY #.html и # DECRYPT FILES BLUESKY #.txt текстовых заметках, которые создаются после шифрования. Внутри вымогатели говорят, что единственный случай, когда файлы могут быть восстановлены, — это если жертвы приобретут специальный ключ дешифрования и программное обеспечение. Также говорят, что любые сторонние попытки расшифровать файлы без помощи киберпреступников могут привести к необратимому повреждению данных. После этого жертвам предлагается загрузить Tor Browser и перейти по предоставленной веб-ссылке. После этого жертвы смогут увидеть цену за расшифровку и дополнительную информацию, например, о том, как создать кошелек и приобрести криптовалюту. Цена дешифрования установлена ​​на уровне 0.1 BTC ≈ 2,075 долларов США и, как говорят, удваивается через 7 дней после атаки программы-вымогателя. Киберпреступники также предлагают протестировать расшифровку, так как жертвы могут отправить один заблокированный файл и получить его расшифровку бесплатно. Разработчики программ-вымогателей, как правило, делают это, чтобы подтвердить свою благонадежность и повысить уверенность жертв в выплате выкупа.

FARGO — это типичный файл-шифровальщик, который ограничивает доступ к данным и держит их заблокированными до тех пор, пока не будет выплачен выкуп. Было также определено, что это будет новый вариант Семья TargetCompany. Во время шифрования вирус выделяет зараженные файлы, добавляя новый .FARGO расширение. Например, файл с первоначальным названием 1.pdf изменится на 1.pdf и сбросьте его значок на пустой. После успешного завершения шифрования файла программа-вымогатель создает текстовый файл с именем FILE RECOVERY.txt который содержит инструкции по расшифровке. Киберпреступники говорят, что единственный путь к восстановлению данных — это купить специальный инструмент для расшифровки. Для этого жертвам предлагается связаться с вымогателями по электронной почте (mallox@stealthypost.net). Также заявлено, что жертвы должны включать в сообщение свой лично сгенерированный идентификатор. Чтобы продемонстрировать, что их программное обеспечение для расшифровки действительно работает, злоумышленники предлагают бесплатную расшифровку некоторых неценных файлов. После отправки этих файлов вымогатели обещают назначить цену за расшифровку и дать инструкции по оплате. К сожалению, мы вынуждены сообщить вам, что ручная расшифровка без помощи разработчиков вымогателей практически невозможна.

Шива — недавно обнаруженная программа-вымогатель, нацеленная на системы Windows для шифрования потенциально важных данных и требующая оплаты от жертв за их расшифровку. Запустив вирусную систему на нашей машине, Шива зашифровала в основном файлы, связанные с бизнесом, включая бухгалтерскую, финансовую информацию и информацию из базы данных. Он также переименовал каждый файл в соответствии с этим шаблоном id[victim's_ID].[Sheeva@onionmail.org].[original_filename].sheeva. Например, файл с именем 1.xlsx был переименован в id[xmrJ9Lve].[Sheeva@onionmail.org].1.xlsx.sheeva и сбросил свой оригинальный значок. После этого вирус-вымогатель создал текстовый файл с именем Шива.txt чтобы показать инструкции по расшифровке. Киберпреступники говорят, что жертвам придется заплатить некоторую сумму денег (неуказанную) в биткойнах, чтобы получить уникальные инструменты дешифрования. Для этого пользователям предлагается связаться с мошенниками, используя либо Шива@onionmail.org or Шива@cyberfear.com адреса электронной почты, а также включают их лично сгенерированный идентификатор. Также разрешено отправить два файла (до 5 МБ) и получить их расшифровку бесплатно. Многие киберпреступники используют этот прием, чтобы продемонстрировать свои дешифровальные способности, а также мотивировать жертв на дальнейшее сотрудничество с ними. Поскольку Sheeva Ransomware нацелена на данные, связанные с бизнесом, разумно предположить, что его область применения сужается до корпоративных, а не домашних пользователей. Это означает, что дополнительно объявленная цена за дешифрование может быть довольно высокой и оттолкнуть многих жертв от дешифрования. К сожалению, если внутри вируса-вымогателя нет серьезных ошибок и недоразвитости, ручная расшифровка без помощи вымогателей практически невозможна.