Ransomware

Willow шифрует личные данные с помощью криптографических шифров, изменяет расширения файлов на .willow и требует оплату в размере 500 долларов за сброс назначенных изменений. По всем этим признакам можно спокойно сказать, что это программа-вымогатель. Образец зашифрованных данных будет выглядеть примерно так 1.pdf.willow. Файлы также потеряют свои оригинальные ярлыки. Willow Ransomware также изменяет обои рабочего стола и создает READMEPLEASE.txt текстовая заметка. И обои, и текстовая заметка отображают ту же инструкцию о выкупе, которую жертвы должны выполнить, чтобы восстановить данные. Говорят, что жертвы должны заплатить 500 долларов в биткойнах на прикрепленный биткойн-адрес, если они не хотят навсегда потерять свои файлы. Также упоминается, что сторонние дешифраторы не смогут удалять шифры, примененные к файлам с помощью Willow. К сожалению, это ничто, но правда, поскольку многие заражения программами-вымогателями используют высококлассные алгоритмы шифрования и хранят свои ключи на онлайн-серверах. По этой причине расшифровка вручную очень часто оказывается невозможной. Мы не рекомендуем платить требуемый выкуп, потому что в конечном итоге есть риск быть обманутым. Вымогатели славятся тем, что сбрасывают своих жертв и не присылают никаких средств дешифрования даже после получения денег.

Mallox это название вируса-вымогателя, который шифрует все ценные данные, хранящиеся в системе. Шифровальщик использует надежные криптографические алгоритмы, чтобы назначить уникальные шифры и ограничить дальнейший доступ к данным. Он также прикрепляет новое .mallox расширение, чтобы выделить заблокированные данные. К примеру, файл вроде 1.pdf изменится на 1.pdf.mallox и сбросит свой исходный значок. Обратите внимание, что удаление расширения .mallox из названия данных не поможет вам открыть файл, поскольку он зашифрован. После успешного шифрования вирус открывает и создает текстовую заметку RECOVERY INFORMATION.txt на рабочий стол с инструкциями по выкупу. В файле говорится, что только уникальное программное обеспечение для дешифрования сможет получить доступ к вашим данным. Чтобы получить его, пользователи должны отправить злоумышленникам электронное письмо со своим личным идентификатором. Затем жертвам будут даны дальнейшие инструкции о том, как приобрести инструмент дешифрования. Также упоминается, что есть возможность протестировать бесплатное дешифрование файлов, отправив несколько зашифрованных образцов, не содержащих ценных данных. Прежде чем вы начнете думать о вариантах восстановления, мы должны сообщить вам о рисках уплаты выкупа. Многие киберпреступники обманывают своих жертв и не присылают никаких инструментов дешифрования даже после получения денег.

Также известный под названием Hakbit, Thanos - это семейство программ-вымогателей, которое разрабатывает и выпускает вирусы-шифровальщики. Впервые этот вирус был обнаружен GrujaRS, независимым исследователем безопасности, специализирующимся на программах-вымогателях. У вируса довольно длинное генеалогическое дерево с множеством различных версий, которые используют AES алгоритмы для шифрования файлов. Каждая версия продвигает свое отдельное расширение, которое назначается зашифрованным данным. В список самых последних входят расширения .steriok, .cyberи .crystal. Если вы заметили изменение значков ярлыков вместе с расширениями, это означает, что ваши файлы были успешно зашифрованы. Чтобы проиллюстрировать, файл вроде 1.pdf изменится на 1.pdf.steriok, 1.pdf.cyber, 1.pdf.crystal или аналогично в зависимости от того, какая версия проникла в вашу систему. После шифрования Thanos создает HOW_TO_DECYPHER_FILES.txt, HELP_ME_RECOVER_MY_FILES.txt or RESTORE_FILES_INFO.txt текстовые файлы. Это названия записок о выкупе, содержащих инструкции о том, как вернуть ваши данные.

Zoom это программа-вымогатель, которая шифрует личные данные, чтобы требовать деньги за их восстановление. Во время шифрования файлов Zoom использует сильные математические алгоритмы вместе с .zoom расширение, которое добавляется для визуального изменения файлов. Например, такой файл, как 1.pdf, изменится на 1.pdf.zoom и сбросит свой ярлык по умолчанию. То же самое будет видно со всеми другими данными, на которые нацелена Zoom Ransomware. Завершив шифрование, Zoom меняет обои рабочего стола и создает recover-youe-all-files.txt файл, который содержит инструкции по выкупу.

CryptoJoker - это семейство программ-вымогателей, которые выпускают все новые программы шифрования файлов каждый год. Как и другие заражения программами-вымогателями, CryptoJocker использует шифрование потенциально ценных данных (например, изображений, видео, музыки, документов, баз данных и т. Д.), Чтобы требовать деньги за полный возврат. В зависимости от того, какая версия атаковала вашу систему, к зашифрованным файлам будет добавлено одно из следующих расширений: .encrypter @ tuta.io.encrypted, .crjoker, .cryptolocker, .cryptoNar, .cryptolocker, .nocry, .devos, .devoscpu. Также, эти расширения часто сопровождаются суффиксами .fully и .partially , означающие, что некоторые файлы были зашифрованы полностью или частично. К примеру, такой файл, как 1.pdf может измениться на 1.pdf.crjoker, 1.pdf.encrypter@tuta.io.encrypted, и так далее. В разных версиях CryptoJocker использовались разные форматы инструкций по выкупу. Некоторые отображают интерактивное окно, а другие создают отдельные текстовые заметки.

Обнаруженная исследователем по имени S!Ri, Foxxy - это вредоносная программа, относящаяся к категории вирусов-вымогателей. Ее основная цель - зашифровать личные данные и потребовать деньги за их восстановление. Как только Foxxy начнет шифрование данных, все файлы получат новое расширение .foxxy и сбросят свои ярлыки. Вот как зашифрованный файл вроде 1.pdf наконец-то будет выглядеть - 1.pdf.foxxy. Затем, как только процесс шифрования завершится, вирус отображает всплывающее окно и создает текстовую заметку под названием ___RECOVER__FILES__.foxxy.txt. Всплывающее окно и текстовый файл содержат инструкции по выкупу для восстановления данных. Вы можете взглянуть на полное содержание обеих заметок ниже:

Udacha - это вирус-вымогатель, который шифрует данные с помощью алгоритмов AES + RSA и требует уплаты 490 долларов (0.013 BTC) за их возврат. Эта информация видна внутри ReadMe_Instruction.mht , который создается после успешного шифрования данных. Плюс к этому, жертвы заметят изменения файлов с помощью нового расширения .udacha . К примеру, такой файл, как 1.pdf изменится на 1.pdf.udacha и сбросит свой значок ярлыка. Ниже вы можете увидеть всю информацию, содержащуюся в записке о выкупе.

GABUTS PROJECT это вирус-вымогатель, который шифрует системные данные для вымогательства денег за их возврат. Шифрование происходит путем добавления .im back расширение для каждого измененного файла. Такие файлы, как музыка, видео, изображения и документы, получат новое расширение и сбросят свои оригинальные ярлыки. Вот пример того, как будут выглядеть зашифрованные файлы - 1.pdf.im back; 1.mp4.im back; 1.png.im back, 1.docx.im back, и так далее. После этого вирус показывает всплывающее окно и создает файл «gabuts project is back.txt», содержащий инструкции по выкупу. Текст написан от первого лица с просьбами отправить 100 BTC для расшифровки данных. Это именно та цена, которую жертвы должны прислать, чтобы восстановить данные. Также упоминается, что эту оплату необходимо произвести в течение 1 дня после заражения. Чтобы начать общение, жертвы должны написать на закрепленный адрес электронной почты. По тексту также есть возможность расшифровать 1 файл, перейдя по ссылке tor. К сожалению, никто не будет платить цену в 100 биткойнов (5,712,670 XNUMX XNUMX долларов США), если только это не крупная корпорация, потерявшая чрезвычайно важные данные.