Ransomware

Ииии — опасный вирус, который выполняет шифрование данных с помощью криптографических шифров, чтобы ограничить доступ жертв к ним. Такой тип заражения классифицируется как программа-вымогатель и направлен на то, чтобы заставить своих жертв отправить деньги для расшифровки. Чтобы показать, что файлы, хранящиеся на ПК, были зашифрованы, вирус присваивает .eeeye расширение со строками случайных символов, сгенерированных уникально для каждого зашифрованного образца. Например, такой файл 1.pdf столкнется с изменением 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee или аналогично с другими символами. Зашифрованные файлы будут заблокированы от любого доступа, а также сбросятся их значки на пустые. Практически сразу после шифрования Eeyee создает 6pZZ_HOW_TO_DECRYPT.txt текстовая записка с инструкциями по выкупу. Заметка предназначена для информирования жертв об изменениях и помощи в процессе восстановления. Киберпреступники говорят, что для возврата файлов и предотвращения утечки скомпрометированных данных необходимо приобрести специальное программное обеспечение для расшифровки. Жертвам предлагается связаться с мошенниками по ссылке onion в Tor Browser. После выполнения этих шагов жертвы свяжутся с разработчиками и узнают подробности о покупке инструментов. Заметка также содержит несколько сообщений, в которых рекомендуется не изменять данные и не обращаться за помощью к третьим лицам (ФБР, полиции, компаниям по восстановлению и т. д.).

Вы должны заплатить представляет собой тип вируса, относящегося к категории программ-вымогателей. Он работает, шифруя личные файлы и требуя деньги за их возврат. Во время этого процесса программа-вымогатель назначает .тебе нужно заплатить расширение для всех заблокированных данных. Например, такой файл 1.pdf изменится на 1.pdf.youneedtopay и сбросьте его первоначальный значок. После добавления этих изменений вирус создает текстовую заметку с именем READ_THIS.txt который предназначен для объяснения инструкций по расшифровке. Также меняются обои рабочего стола. Посмотрите внимательнее, что там за содержимое.

Admin Locker — это название вируса-вымогателя, который начал свое распространение в декабре 2021 года. Он использует комбинацию алгоритмов AES+RSA для записи безопасных криптографических шифров поверх хранимых данных. Это влияет на доступ к файлам и их внешний вид. Admin Locker добавляет ко всем заблокированным данным одно из следующих расширений: .admin1, .admin2, .admin3, .1admin, .2adminили .3admin. Разницы в том, какое из них получили ваши данные, нет. Их единственная функция - показать, что файлы были зашифрованы. К примеру, файл вроде 1.pdf изменится на 1.pdf.1admin (или другое расширение) и становятся недоступными. После завершения шифрования Admin Locker объясняет, как восстановить данные в своей текстовой заметке (!!!Recovery File.txt) и на своей веб-странице, доступ к которой можно получить по ссылке TOR.

Noway это программа-вымогатель, которая шифрует все важные данные с помощью AES-256 алгоритмов. Вирус также переименовывает заблокированные данные с помощью случайно сгенерированных символов и расширения .noway . К примеру, такой файл, как 1.pdf изменится на 611hbRZBWdCCTALKlx.noway и потеряет свой первоначальный значок при успешном шифровании. Как правило, большинство файлов, зашифрованных программами-вымогателями, невозможно расшифровать без помощи киберпреступников. Несмотря на это, Noway Ransomware является одним из немногих, которые можно официально бесплатно расшифровать с помощью инструмента Emisoft. Вы можете скачать его далее в нашем руководстве ниже. Мы рекомендуем вам не торопиться с процессом расшифровки, так как сначала вы должны удалить вирус (также руководствуясь этим руководством). В дополнение к шифрованию личных данных Noway выдает текстовую заметку под названием Unlock your file Instraction.txt. В заметке показано, как восстановить свои данные с помощью разработчиков программ-вымогателей. Мошенники дают 72 часа на решение заплатить выкуп. Если жертвы превышают указанный срок оплаты, мошенники утверждают, что ваши данные станут недоступными навсегда. Это неправда, поскольку разработчикам Emisoft удалось взломать шифры и бесплатно помочь жертвам расшифровать файлы Noway.

РЛ Вана-XD это программа-вымогатель, которая шифрует важные данные, хранящиеся на ПК. Чтобы подчеркнуть это, вирус рекламирует свою собственную .XD-99 расширение для всех затронутых имен файлов. Например, файл типа 1.pdf изменится на 1.pdf.XD-99 и сбросить его исходный значок. В результате жертвы больше не смогут получить доступ к файлу и просмотреть его содержимое. Чтобы избавиться от этих последствий, разработчики RL Wana-XD предлагают своим жертвам прочитать специальные инструкции по расшифровке внутри текстовой заметки (Readme.txt). Текстовое примечание короткое, но конкретное: разработчики утверждают, что единственный способ вернуть ваши данные - это заплатить за уникальное программное обеспечение для дешифрования и ключ. Для этого жертвам рекомендуется связаться с мошенниками через Вана-XD@bk.ru or RL000@protonmail.ch адрес электронной почты. К сожалению, ключи, используемые RL Wana-XD Ransomware для шифрования ваших данных, часто защищены и хранятся в режиме ОНЛАЙН. Это означает, что ручное дешифрование с помощью сторонних инструментов, скорее всего, не принесет результатов или удастся расшифровать только часть данных. Если у вас нет личного идентификатора, оканчивающегося на t1, стороннее дешифрование вряд ли поможет. В то же время, киберпреступники платят деньги, это всегда сопряжено с риском, так как они могут обмануть своих жертв и не присылать обещанные расшифровки.

Razer это название заражения программой-вымогателем, которая выполняет шифрование данных, требуя от жертв заплатить деньги за их возврат. Пользователи, зараженные этим вирусом, увидят, что их имена файлов изменены на случайную строку символов, адрес электронной почты киберпреступников (razer1115@goat.si), а также расширение .razer в конце. К примеру, файл под названием 1.pdf , затронутый вирусом-шифровальщиков, изменится и будет выглядеть примерно вот так 1.pdf.[42990E91].[razer1115@goat.si].razer . Он также сбросит и свой ярлык на пустой. Чтобы расшифровать ваши данные, разработчики вируса предлагают следовать инструкциям, приведенным в текстовой заметке readme-warning.txt текстовая заметка. Говорят, что жертвам следует связаться с мошенниками, используя одно из электронных писем (razer1115@goat.si, pecunia0318@tutanota.comили pecunia0318@goat.si) и заплатите выкуп в биткойнах. Чтобы убедить жертв в том, что им можно доверять, киберпреступники предлагают так называемую гарантию, при которой жертвам разрешается отправить 2 файла с простыми расширениями (макс. 1 МБ) и бесплатно получить их в расшифрованном виде. Многие создатели программ-вымогателей используют этот трюк, чтобы побудить жертв заплатить выкуп и поддерживать с ними контакт. Мы настоятельно рекомендуем вам избегать запросов разработчиков и вместо этого восстанавливать данные с помощью резервной копии.

Обнаруженный одним из исследователей вредоносного ПО под псевдонимом S!Ri, Surtr это программа-вымогатель, разработанная для шифрования различных типов личных данных. Часто можно увидеть популярные файлы, такие как музыка, фотографии и документы, затронутые вирусной атакой. Surtr использует электронную почту киберпреступников (DecryptMyData@mailfence.com) и .SURT для переименования всех заблокированных данных. К примеру, файл вроде 1.pdf изменится на 1.pdf.[DecryptMyData@mailfence.com].SURT и сбросить исходный значок на пустой. То же изменение будет применено к другим данным, прошедшим шифрование. Кроме того, после успешного шифрования создаются два файла - текстовая заметка, называемая SURTR_README.txt и SURTR_README.hta , предназначенный для открытия всплывающего окна. В обоих файлах содержаться инструкции по уплате необходимого выкупа. Вы можете внимательно ознакомиться с их содержанием здесь, ниже:

Будучи частью Семейства программ-вымогателей Dharma, Dr - еще один файловый шифровальщик, который блокирует доступ к данным и требует от жертв заплатить деньги за возврат. Как только шифрование вступит в силу, все файлы, хранящиеся в системе, будут изменены с уникальным идентификатором жертвы, адресом электронной почты разработчиков и .dr расширение. Затронутый файл вроде 1.pdf изменится на что-то вроде этого 1.pdf.id-1E857D00.[dr.decrypt@aol.com].drи т. д. с другими типами зашифрованных данных. Единственная переменная информация - это идентификаторы жертв, поэтому они, скорее всего, будут разными для каждого зараженного пользователя. После успешного шифрования вирус создает текстовую заметку под названием FILES ENCRYPTED.txt. Он также принудительно открывает всплывающее окно, содержащее те же инструкции по выкупу, что и в примечании. Жертвам дается указание связаться с вымогателями по электронной почте. Их адрес электронной почты также виден внутри нового расширения, которое добавляется к заблокированным данным. Если разработчики не ответят в течение 12 часов, жертвы должны написать на другой адрес электронной почты, указанный в примечании. Кроме того, мошенники, стоящие за Dr Ransomware, также предупреждают своих жертв не переименовывать файлы и не использовать сторонние инструменты для их расшифровки. Также нет информации о том, сколько жертвы должны заплатить за расшифровку своих данных, поскольку это будет известно при контакте с мошенниками.