Ransomware

Proton это инфекция-вымогатель. Цель этого вируса — запустить шифрование потенциально важных фрагментов данных, а затем потребовать деньги за их полную расшифровку. При этом Proton также изменяет файлы визуально — затронутый файл с возможностью получения kigatsu@tutanota.com адрес электронной почты, идентификатор жертвы и .Proton or .kigatsu расширение для зашифрованных файлов. Например, такой файл 1.pdf будет выглядеть примерно так 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. После этого изменения жертвы больше не смогут получить доступ к своим файлам, независимо от того, какие изменения были внесены. После этого вирус сбрасывает README.txt текстовую заметку, содержащая инструкции по расшифровке. Сообщается, что данные жертвы были зашифрованы (с использованием алгоритмов AES и ECC) и украдены киберпреступниками. Слово «украденный», вероятно, предполагает, что зашифрованные данные были скопированы на серверы киберпреступников и могут быть использованы в любое время, если не будет уплачен выкуп. Злоумышленники призывают своих жертв связаться с ними через Telegram или по электронной почте и приобрести услугу расшифровки. Кроме того, жертвам также разрешается отправить один файл (менее 1 МБ) и бесплатно его расшифровать. Таким образом, киберпреступники демонстрируют свою благонадежность, а также возможность вернуть доступ к заблокированным данным. В конце сообщения о выкупе вымогатели приводят несколько предупреждений относительно рисков, связанных с попытками расшифровки файлов без помощи разработчиков программ-вымогателей.

Reload Ransomware — это форма вредоносного ПО, которое нацелено на отдельных лиц и организации, шифруя их файлы и требуя выкуп за ключи дешифрования. Это часть Makop Ransomware семейства. Записка о выкупе обычно начинается с заявления о том, что все файлы были зашифрованы и теперь имеют .reload расширение. Программа-вымогатель использует надежные алгоритмы шифрования для блокировки файлов, что делает их недоступными без соответствующего ключа дешифрования. Конкретный тип шифрования, используемый Reload Ransomware, явно не упоминается в предоставленных источниках, но программы-вымогатели обычно используют шифрование AES (расширенный стандарт шифрования) или RSA, которые обладают высокой степенью безопасности и их трудно взломать без уникального ключа расшифровки. Записка о выкупе, созданная Reload Ransomware, обычно представляет собой текстовый файл (+README-WARNING+.txt), который помещается в папки, содержащие зашифрованные файлы. В этой записке четко указано, что файлы были зашифрованы, и приведены инструкции о том, как заплатить выкуп за восстановление файлов. В примечании могут быть указаны такие подробности, как требуемая сумма выкупа, обычно в криптовалюте, такой как биткойн, для обеспечения анонимности транзакции.

CryptNet Ransomware — это тип вредоносного ПО, которое шифрует файлы на зараженных компьютерах и требует выкуп за ключ дешифрования. Это новая программа-вымогатель как услуга (RaaS), появившаяся в апреле 2023 года и известная своей эффективностью в шифровании файлов. Программа-вымогатель написана на языке программирования .NET и маскируется с помощью .NET Reactor, чтобы избежать обнаружения. При шифровании файлов CryptNet добавляет к исходным именам файлов случайное пятизначное расширение, что позволяет легко идентифицировать их как скомпрометированные этой конкретной программой-вымогателем. CryptNet использует комбинацию 256-битного алгоритма шифрования AES в режиме CBC и 2048-битного алгоритма шифрования RSA для блокировки файлов. Этот метод двойного шифрования гарантирует, что файлы надежно зашифрованы и не могут быть расшифрованы без уникальных ключей, имеющихся у злоумышленников. После шифрования CryptNet отправляет записку о выкупе с именем RESTORE-FILES-[случайная_строка].txt на рабочем столе жертвы. Записка информирует жертв о шифровании и содержит инструкции о том, как заплатить выкуп за восстановление файлов. Он также включает уникальный идентификатор расшифровки и может предложить бесплатный тест расшифровки, чтобы доказать способность злоумышленников расшифровать файлы.

DoNex Ransomware — это тип вредоносного программного обеспечения, подпадающего под категорию программ-вымогателей, предназначенных для шифрования данных на компьютере жертвы, делая файлы недоступными до тех пор, пока не будет выплачен выкуп. Именно этот вариант программы-вымогателя был идентифицирован исследователями информационной безопасности как угроза, которая шифрует пользовательские данные и требует оплаты за возможность расшифровки. DoNex добавляет уникальный идентификатор жертвы к расширениям зашифрованных файлов. Например, файл с именем myphoto.jpg будет переименован во что-то вроде myphoto.jpg.5GlA66BK7 после шифрования DoNex. Хотя конкретные подробности об алгоритме шифрования, используемом DoNex, пока неизвестны, программы-вымогатели обычно используют сильные криптографические алгоритмы, симметричные или асимметричные, для блокировки файлов. DoNex оставляет записку с требованием выкупа под названием Readme.[идентификатор_жертвы].txt на компьютере жертвы, который содержит инструкции о том, как связаться с злоумышленниками, обычно через определенный канал связи, такой как мессенджер Tox, и требования об оплате.

Нуд-вымогатель — вредоносное программное обеспечение, которое шифрует файлы на компьютере жертвы, делая их недоступными без ключа расшифровки. Этот ключ обычно находится у злоумышленников, которые требуют выкуп в обмен на его выпуск. Понимание механизма работы программы-вымогателя NOOD, методов ее заражения, особенностей используемого шифрования и возможностей расшифровки имеет решающее значение как для предотвращения, так и для устранения последствий. Как только Nood Ransomware заражает компьютер, он шифрует файлы, используя сложные алгоритмы шифрования. Программы-вымогатели такого типа обычно используют стойкое асимметричное шифрование, что чрезвычайно затрудняет несанкционированное дешифрование без уникального ключа, которым располагают злоумышленники. Зашифрованные файлы добавляются с помощью .нуд расширение, означающее их недоступность. После завершения процесса шифрования Nood Ransomware генерирует записку о выкупе (_readme.txt), инструктируя жертв о том, как заплатить выкуп, чтобы потенциально восстановить свои файлы. В примечании обычно содержатся инструкции по оплате, обычно требующие оплаты в биткойнах, и подчеркивается срочность совершения платежа для получения ключа дешифрования.

Дюралок-вымогатель — это тип вредоносного программного обеспечения, который исследователи информационной безопасности считают серьезной угрозой. Он принадлежит к семейству программ-вымогателей MedusaLocker и предназначен для шифрования данных на зараженных компьютерах, делая файлы недоступными для пользователей. После заражения компьютера Duralock шифрует файлы пользователя и добавляет к ним особое расширение. .duralock05, к именам файлов. Это помечает файлы как зашифрованные и предотвращает доступ пользователей к их содержимому без ключа дешифрования. Duralock Ransomware создает записку о выкупе с именем HOW_TO_BACK_FILES.html на зараженном компьютере. Эта записка обычно содержит инструкции для жертвы о том, как заплатить злоумышленникам выкуп в обмен на ключ дешифрования, необходимый для разблокировки зашифрованных файлов. В этой статье представлены методы удаления, инструменты удаления и возможные способы расшифровки зашифрованных файлов без переговоров с злоумышленниками.

RSA-4096 Ransomware представляет собой вариант семейства программ-вымогателей Xorist, которые известны тем, что шифруют данные жертв и требуют выкуп за ключ дешифрования. Этот конкретный штамм использует алгоритм шифрования RSA-4096, который является частью асимметричного шифра RSA с размером ключа 4096 бит, что делает его очень безопасным и трудным для взлома. Когда программа-вымогатель RSA-4096 шифрует файлы, она добавляет .RSA-4096 расширение к именам файлов. Например, файл с первоначальным названием 1.jpg будет переименован в 1.jpg.RSA-4096. После шифрования файлов программа-вымогатель RSA-4096 оставляет записку с требованием выкупа под названием HOW TO DECRYPT FILES.txt на рабочем столе жертвы или в зашифрованных каталогах. В этой заметке объясняется, что файлы были зашифрованы, и приводятся инструкции о том, как заплатить выкуп, чтобы получить ключ дешифрования. Жертвам предлагается заплатить 2 BTC (около 124,000 48 долларов на момент написания) в течение XNUMX часов за ключ дешифрования. Однако оплата не гарантирует восстановление файлов, а удаление программы-вымогателя не расшифровывает файлы. Единственный надежный метод восстановления — из резервных копий.

Payuranson Ransomware — это тип вредоносного ПО, принадлежащий к семейству программ-вымогателей Skynet. После успешного проникновения Payuranson Ransomware инициирует сложную процедуру шифрования. Обычно он нацелен на широкий спектр типов файлов, включая документы, изображения, видео и базы данных, чтобы максимизировать эффект атаки. Программа-вымогатель добавляет к зашифрованным файлам определенное расширение, обычно .payuranson, что служит четким индикатором заражения. Алгоритм шифрования, используемый Payuranson Ransomware, часто является усовершенствованным и использует комбинацию методов шифрования RSA и AES. Это криптографические алгоритмы, известные своей надежностью, что делает несанкционированное дешифрование исключительно сложным без уникального ключа дешифрования, которым располагают злоумышленники. После процесса шифрования Payuranson Ransomware генерирует записку о выкупе, обычно называемую SkynetData.txt или аналогичный вариант и помещает его в каждую папку, содержащую зашифрованные файлы. В этой заметке содержатся инструкции о том, как связаться с злоумышленниками (обычно по электронной почте или через платежный сайт Tor), а также о сумме требуемого выкупа, часто в криптовалютах, таких как биткойны. Записка также может содержать угрозы удаления или раскрытия данных с целью заставить жертв заплатить выкуп.