Ransomware

STOP/Djvu был одним из самых популярных семейств программ-вымогателей, нацеленных на множество пользователей по всему миру. Им управляют опытные разработчики, которые регулярно создают и выпускают новые версии программ-вымогателей. Как и другие вредоносные программы этого типа, STOP / Djvu использует сильные криптографические алгоритмы вместе с назначением пользовательских расширений для ограничения доступа к данным. После этого пользователи не могут открывать свои файлы, так как они заблокированы безопасными шифрами. Находясь в депрессивном и психическом состоянии после заражения вирусом, киберпреступники предлагают решение для сохранения файлов - купить специальное программное обеспечение для дешифрования, которое вернет доступ к данным. Они показывают инструкции по выкупу внутри заметки (.txt, HTML или всплывающее окно), которая создается в конце шифрования. Жертв часто просят связаться с разработчиками и отправить приблизительную сумму денег в BTC или других криптовалютах. Однако очевидно, что многие хотели бы этого избежать и восстановить файлы бесплатно или хотя бы по невысокой цене. Об этом мы и поговорим сегодня. Следуйте нашему руководству ниже, чтобы узнать все необходимые шаги, которые вы должны предпринять для расшифровки или восстановления файлов, заблокированных STOP / Djvu.

NRCL блокирует доступ к данным и просит своих жертв заплатить так называемый выкуп. Вредоносное ПО, выполняющее шифрование данных и вымогающее деньги у зараженных, обычно классифицируется как программы-вымогатели. NRCL делает это с использованием надежных криптографических шифров для предотвращения ручного дешифрования файлов. После успешного шифрования файлы, хранящиеся в системе, претерпят два визуальных изменения: новое .NRCL расширение и сброс своих ярлыков. Вот пример как будет выглядеть зашифрованный файл 1.pdf.NRCL. Помимо этого, NRCL также создает текстовый файл Note.txt с инструкциями по возврату ваших данных. Эта же информация скрыта внутри небольшой утилиты, которую можно открыть через файл NRCL_Decryptor.exe. Содержание обоих файлов говорит о том, что есть только один способ восстановить ваши данные - заплатить 300 долларов за расшифровку. Вымогатели также рекомендуют жертвам не выключать компьютер и не выполнять манипуляции с файлами. Чтобы завершить платеж и получить специальный ключ дешифрования, жертвы должны связаться с разработчиками по электронной почте. После этого жертвы должны получить ключ, вставить его в выделенное место во всплывающем окне и нажать «Расшифровать». Однако на момент написания этой статьи эксперты по вредоносным программам обнаружили, что электронные письма, отправленные NRCL, не существуют, что означает, что эта программа-вымогатель все еще находится в стадии разработки.

MME это вирус-вымогатель, который шифруют данных и просит деньги у жертв за их возврат. Вирус использует собственное расширение (.MME), чтобы выделить заблокированные данные и помочь пользователям заметить их шифрование. К примеру, ранее нетронутый файл 1.pdf изменится на 1.pdf.MME и сбросить исходный значок после успешного шифрования. В результате этого изменения жертвы больше не смогут получить доступ к файлу. Чтобы исправить это и вернуться к обычному использованию файлов, киберпреступники предлагают выбрать платное решение - купить специальное программное обеспечение для дешифрования, которое вернет ваши данные. Инструкции по выполнению перечислены в текстовой заметке с названием Read_Me.txt , которая создается одновременно с шифрованием. Вы можете ознакомиться с ее подробным содержанием ниже:

BLUE LOCKER - это опасный вирус, классифицирующийся как программа-вымогатель. Его основная цель - вымогательство денег у жертв после успешного шифрования личных данных. Он присваивает новое .blue расширение и выдает текстовую заметку под названием restore_file.txt чтобы посвятить жертв в процесс восстановления данных. Это значит, что файл вроде 1.pdf изменится на 1.pdf.blue и сбросить его исходный значок. Текст внутри заметки похож на другие случаи заражения программами-вымогателями. Говорят, что все файлы были зашифрованы, резервные копии удалены, скопированы на сервер киберпреступников. Чтобы устранить повреждение и вернуться к нормальной работе с полностью функционирующими файлами, жертвам следует купить универсальный дешифратор, принадлежащий разработчикам вредоносных программ. Если вы решите игнорировать запросы киберпреступников, они начнут сбрасывать ваши файлы на темные веб-ресурсы. При обращении к разработчикам по поводу расшифровки предлагается прислать 1 файл, чтобы они могли разблокировать его бесплатно. Связь между жертвами и киберпреступниками должна быть установлена ​​по электронной почте (grepmord@protonmail.com). Связавшись с ними, жертвы получат дальнейшие инструкции о том, как заплатить и приобрести программное обеспечение для дешифрования.

Будучи разработанным в Италии, Giuliano представляет собой программу-вымогатель, созданную с использованием надежных криптографических алгоритмов (AES-256) для безопасного шифрования данных. Блокируя доступ к личным файлам, вымогатели пытаются обманом заставить жертв заплатить деньги за расшифровку данных. Жертвы могут обнаружить, что их файлы были зашифрованы, просто взглянув на расширение - вирус добавляет новое расширение «.Giuliano», чтобы выделить заблокированные данные. Это означает, что файл вроде 1.pdf изменится на 1.pdf.Giuliano и сбросит свою исходную иконку. Информацию о восстановлении файлов можно найти в текстовой заметке под названием README.txt. Инструкции по расшифровке внутри этого файла представлены на итальянском языке. Киберпреступники информируют жертв об успешном заражении и побуждают их следовать перечисленным инструкциям. Они говорят, что вам следует посетить страницу GitHub, чтобы заполнить некоторые формы. После этого разработчики вредоносных программ, скорее всего, свяжутся со своими жертвами и попросят заплатить выкуп. Обычно требуется провести платеж в BTC или другой криптовалюте, используемой разработчиками. Увы, шифры, применяемые Giuliano Ransomware, надежны и плохо поддаются расшифровке с помощью сторонних инструментов. На данный момент лучший способ восстановить ваши файлы помимо сотрудничества с мошенниками - это использовать резервные копии.

Являясь опасным вирусом-вымогателем, Rook шифрует данные и старается заставить пользователей оплатить выкуп. Вирус легко отличить от других версий, поскольку каждому заблокированному файлу присваивается .rook расширение. Это означает, что файл вроде 1.pdf изменится на 1.pdf.rook и сбросит свой исходный значок после успешного шифрования. Сразу после этого Rook-шифровальщик создает текстовую заметку с именем HowToRestoreYourFiles.txt показывая пользователям, как они могут восстановить данные. В тексте заметки сказано, что восстановить доступ ко всем данным можно, только связавшись с мошенниками и заплатив денежный выкуп. Связь должна быть установлена ​​по электронной почте (rook@onionmail.org; securityRook@onionmail.org) или ссылку на браузер TOR, прикрепленную к заметке. При написании сообщения киберпреступникам предлагается отправить до 3 файлов (не более 1 Мб) и расшифровать их бесплатно. Таким образом киберпреступники в какой-то мере доказывают свои способности дешифрования и свою надежность. Кроме того, если вы обратитесь к вымогателям в течение указанных 3 дней, киберпреступники предоставят 50% скидку на расшифровку. Если вы не уложитесь в этот крайний срок, разработчики Rook начнут сливать ваши файлы в свою сеть, чтобы впоследствии злоупотреблять ими на страницах даркнета. Они также говорят, что никакие сторонние инструменты не помогут вам восстановить файлы.

HarpoonLocker - это название относительно нового вируса-вымогателя. Первая информация о нем появилась на форумах, посвященных вредоносному ПО. Вирус выполняет шифрование данных с помощью алгоритмов AES-256 и RSA-1024, что приводит к блокировке доступа к ним. HarpoonLocker присваивает .locked расширение, присуще многими другими вирусами-вымогателями. Поэтому оно входит в группу общих расширений, из-за чего может быть трудно отличить вирус от других подобных инфекций. Он также создает текстовую заметку (restore-files.txt) с инструкциями по выкупу. Разработчики говорят, что все данные были зашифрованы и просочились на их серверы. Единственный способ исправить это и безопасно вернуть файлы - согласиться на уплату выкупа. Жертвам предлагается скачать мессенджер qTOX и там связаться с вымогателями. Также есть возможность попробовать расшифровать 3 заблокированных файла бесплатно. Это гарантия, которую дают киберпреступники, чтобы доказать, что им можно доверять. К сожалению, кроме qTOX нет других контактов, которые жертвы могли бы использовать для обсуждения с киберпреступниками. Многие кибер-исследователи шутили, что HarpoonLocker также следует называть Безымянной программой-вымогателем qTOX, поскольку жертвам не с кем разговаривать. По этой и многим другим причинам настоятельно не рекомендуется выполнять перечисленные требования и платить выкуп. Довольно часто киберпреступники обманывают своих жертв и не присылают никаких средств дешифрования даже после получения денег.

Впервые обнаруженный и исследованный независимым экспертом по имени S!R!, NoCry это вирус-вымогатель, который шифрует личные данные пользователей. Это очень популярная схема, используемая разработчиками программ-шифровальщиков в целях вымогательства денег у жертв после успешной блокировки данных. На данный момент известны две версии NoCry, отличающиеся расширениями, которые присваиваются заблокированным данным. .Cry or .IHA расширения, которые будут добавлены к зашифрованным файлам. К примеру, 1.pdf изменится на 1.pdf.Cry or 1.pdf.IHA и сбросит свой ярлык после заражения вредоносным ПО. Мошенники, стоящие за NoCry Ransomware, требуют оплату за возврат данных. Эта информация написана в HTML-файле под названием How To Decrypt My Files.html. Он также принудительно открывает всплывающее окно, с которым жертвы могут взаимодействовать, чтобы отправить выкуп и расшифровать свои данные. Содержимое обоих идентично и сообщает жертвам об одном и том же. NoCry дает около 72 часов на отправку 100 $ в BTC на прикрепленный крипто-адрес. Если в отведенный срок деньги не поступят, NoCry удалит ваши файлы навсегда. Это уловка устрашения, предназначенная для того, чтобы поторопить жертв и быстрее заплатить требуемый выкуп.