Ransomware

Cat4er это вирус-вымогатель, который запускает шифрование данных при заражении целевой системы. Он делает это, назначая .cat4er расширение, чтобы зашифрованные файлы выглядели как 1.pdf.cat4er, 1.png.cat4er, 1.xlsx.cat4erи т. д. в зависимости от исходного имени. После выполнения таких изменений вирус создает HTML-файл с именем HOW_FIX_FILES.htm и предназначен для того, чтобы проинструктировать жертв в процессе расшифровки. Как указано в примечании в формате HTML, жертвы могут повторно получить доступ ко всем заблокированным данным, перейдя по прикрепленной ссылке TOR и следуя инструкциям о том, как приобрести специальное программное обеспечение для расшифровки. Жертвам дается 10 дней, чтобы принять решение об уплате выкупа в размере 0.08 BTC — около 3300 долларов на момент написания этой статьи. После оплаты злоумышленники обещают выслать заявленные инструменты, способные расшифровать файлы. К сожалению, злоумышленники-вымогатели — единственные, у кого есть необходимые ключи для разблокировки ваших данных. Эти ключи часто надежно защищены, и их практически невозможно взломать с помощью сторонних инструментов.

Новый эксплойт это вирус-вымогатель, предназначенный для шифрования данных, хранящихся на ПК, и шантажа жертв, заставляющих их платить так называемый выкуп. Успешное шифрование подтверждается после того, как Newexploit изменяет расширения файлов на .exploit. Например, такой файл 1.pdf сбросит свой первоначальный значок и изменится на 1.pdf.exploit. В результате пользователи теряют доступ к файлам, что означает, что они больше не могут их читать или редактировать. Чтобы исправить это, Newexploit предлагает своим жертвам следовать инструкциям, написанным внутри текстовой заметки (RECOVERY INFORMATION.txt). Эта заметка создается сразу после успешного шифрования и содержит информацию о том, как восстановить данные.

Будучи частью семьи Фобос, Элби это вирус-вымогатель, предназначенный для получения прибыли его разработчиками путем вымогательства денег у жертв. Он делает это сразу после шифрования данных и добавления новых расширений файлов. Например, файл с именем 1.pdf изменится на что-то вроде 1.pdf.id[C279F237-2994].[antich154@privatemail.com].Elbie а также сбросить его первоначальный значок. Шаблон, используемый киберпреступниками для переименования файлов, таков: original_filename.[victim's ID].[antich154@privatemail.com].Elbie. После применения всех визуальных изменений вирус создает две заметки с требованием выкупа, называемые info.hta и info.txt. Оба они содержат короткие и более широкие инструкции о том, как вернуть заблокированные данные.

Дедболт это вирус-вымогатель, который взламывает устройства QNAP и NAS, используя уязвимости для шифрования хранимых данных. Это происходит сразу, не позволяя пользователям предотвратить процесс и сохранить свои файлы от надежного шифрования. После распространения вирус захватывает экран входа в систему QNAP, чтобы показать примечание о выкупе, требующее от жертв заплатить за расшифровку. Это не позволяет зараженным пользователям выходить куда-либо за пределы экрана ведения журнала, например, для доступа к своей странице администратора. Однако QNAP отметил, что это можно обойти, используя следующие URL-адреса: http://nas_ip:8080/cgi-bin/index.cgi or https://nas_ip/cgi-bin/index.cgi. Кроме того, все всплывающие окна с примечаниями о выкупе также содержатся в одном HTML-файле с именем index.html_deadlock.txt. DeadBolt также назначает новый .засов расширение для всех данных, затронутых в системе. Для иллюстрации файл типа 1.pdf изменится на 1.pdf.deadbolt становится полностью недоступным. То же самое произойдет со всеми файлами, зашифрованными программой-вымогателем DeadBolt. Вы можете расширить список всех расширений файлов, на которые нацелен этот вариант программы-вымогателя:

Помощь в расшифровке был классифицирован как заражение программами-вымогателями. Это означает, что он может шифровать личные данные и требовать деньги за их возврат. При шифровании все скомпрометированные файлы претерпевают визуальные изменения — вирус добавляет .asistchinadecryption вместе с идентификатором жертвы в исходные имена файлов. Например, такой файл 1.pdf изменится на 1.pdf.asistchinadecryption.C04-41D-05E и сбросьте его первоначальный значок. То же самое будет применяться ко всем другим данным, различающимся только идентификаторами каждой жертвы. Файловый шифратор также создает файл с именем !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT . Это записка о выкупе, предназначенная для предоставления жертвам инструкций по восстановлению файлов.

Белый Кролик классифицируется как программа-вымогатель, которая запускает шифрование данных, чтобы потребовать деньги за их возврат. Он был обнаружен Майклом Гиллеспи — популярным исследователем вредоносных программ, специализирующимся на заражении программами-вымогателями. При шифровании всех важных данных, хранящихся в системе, вирус добавляет .scrypt расширение в конец каждого файла. Например, образец под названием 1.pdf изменится на 1.pdf.scrypt и сбросьте его первоначальный значок. Кроме того, все заблокированные файлы получат файлы заметок о выкупе с уникальными ключами шифрования. 1.pdf.scrypt получите 1.pdf.scrypt.txt, 1.xlsx.scrypt - 1.xlsx.scrypt.txt, и так далее.

WaspLocker довольно разрушительная вирусная инфекция, которая шифрует личные данные с помощью надежных криптографических алгоритмов. Это делается для того, чтобы пользователи не могли вернуть свои данные без помощи киберпреступников. К сожалению, киберпреступники требуют от своих жертв заплатить 0.5 BTC, что является невыносимо большим. Пользователи, атакованные WaspLocker, получают эту информацию внутри текстовой заметки под названием Как восстановить ваши файлы.txt и отдельное всплывающее окно с инструкциями по восстановлению заблокированных файлов. Кроме того, разработчики WaspLocker выделяют шифрование данных, добавляя новые расширения (.locked or .0.locked) и сброс значков файлов. Например, такой файл 1.pdf изменится на 1.pdf.locked or 1.pdf.0.locked в зависимости от того, какая версия WaspLocker заразила вашу систему.

КМА47 разрабатывался с единственной целью — зашифровать личные данные и потребовать деньги за их возврат. Такой вирус относится к категории инфекций-вымогателей с высоким риском. Процесс шифрования данных начинается с добавления новых .encrypt расширения конце заблокированных файлов и заканчивается созданием read_me.txt - записка о выкупе с инструкциями по восстановлению файлов. Например, такой файл 1.pdf изменится на 1.pdf.encrypt и сбросьте его значок. KMA47 также меняет обои жертв. В записке говорится, что он был взломан вирусом, что привело к полному шифрованию данных. Чтобы это исправить, жертвам рекомендуется связаться с киберпреступниками по электронной почте (manager@mailtemp.ch or helprestoremanager@airmail.cc) и в конечном итоге заплатите выкуп в размере 100 долларов. После отправки денег разработчики вымогателей должны отправить ваш закрытый ключ и специальное программное обеспечение для расшифровки, чтобы разблокировать данные. Хотя киберпреступники могут быть единственными фигурами, способными полностью расшифровать ваши данные, уплата выкупа не всегда гарантирует, что вы в конечном итоге получите его. К сожалению, ручная расшифровка также маловероятна из-за надежных алгоритмов и онлайн-хранилища ключей. Вы можете попробовать использовать сторонние расшифровщики, если у вас нет доступных резервных копий. Если у вас есть запасные файлы, хранящиеся в безопасном облаке или физическом хранилище, скопируйте их обратно и не платите выкуп.