Ransomware

SUPERSUSO это программа-вымогатель, которая использует надежные алгоритмы шифрования, чтобы лишить пользователей доступа к их собственным данным. Шифрование данных призвано сподвигнуть жертв на оплату так называемого выкупа за восстановление зашифрованных файлов. Жертвы могут без проблем заметить шифрование файлов благодаря новым расширениям, которые присваиваются им. Разработчики SUPERSUSO используют .ICQ_SUPERSUSO расширение для переименования всех заблокированных данных. К примеру, такой файл, как 1.pdf изменится на 1.pdf.ICQ_SUPERSUSO и сбросит свою иконку. То же самое коснется и остальных заблокированных данных. После этого SUPERSUSO создает текстовый файл под названием #Decrypt#.txt чтобы объяснить инструкции по восстановлению. Сначала жертвам предлагается установить программное обеспечение ICQ для ПК, Android или IOS и написать на адрес получателя киберпреступников, указанный в примечании. ICQ - это надежный и законный мессенджер, используемый киберпреступниками для анонимного общения со своими жертвами. Если жертвы не смогут связаться с разработчиками в течение 72 часов, скомпрометированная информация будет собрана и просочится на рынки даркнета.

Shasha это название вируса-вымогателя, который шифрует и изменяет данные с помощью .shasha расширения. Новое расширение является визуальным аспектом для выделения заблокированных данных. Если большинство ваших данных изменились на это расширение как здесь 1.pdf.shasha, то вы, несомненно, заражены программой-вымогателем. Следующим шагом разработчика после блокировки доступа к файлам является объяснение, как их восстановить. Для этого киберпреступники, отвечающие за вирус Shasha, создают текстовую заметку под названием READ_ME.txt и поменять обои на рабочий стол. В этой заметке вымогатели утверждают, что только они могут расшифровать ваши файлы. Если быть более точным, это те, у кого есть закрытые ключи и программное обеспечение для дешифрования, которое может разблокировать данные. Жертв просят купить его за 50 долларов в биткоинах. Платеж должен быть отправлен через биткойн-адрес, указанный в примечании. К сожалению, неизвестно, как киберпреступники отправят вам приобретенное программное обеспечение для дешифрования.

ОбщийВыкуп классифицируется как вирус-вымогатель, который шифрует данные, хранящиеся на зараженных устройствах, чтобы требовать оплаты за их возврат. Эта версия была обнаружена исследователем вредоносных программ по имени Майкл Гиллепси. Как и многие другие заражения программами-вымогателями, CommonRansom назначает собственное расширение для выделения заблокированных данных. Все данные, зашифрованные CommonRansom, будут изменены, как этот файл здесь - 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. После этого вирусу остается еще одна вещь, которую нужно инициировать - это создание записки с требованием выкупа. Название заметки РАСШИФРОВКА.txt и кладется в каждую папку с зараженными файлами. В этой заметке говорится, что у жертвы есть 12 часов, чтобы запросить расшифровку данных, в противном случае у них больше не будет возможности вернуть их. Также существует шаблон, который следует использовать при обращении к киберпреступникам по их адресу электронной почты. Прилагаемый шаблон на самом деле очень подозрительный, поскольку он просит жертв записать свой RDP-порт ПК, имя пользователя вместе с паролем, используемым для входа в систему, и время, когда вы заплатили 0.1 BTC на указанный крипто-адрес.

Gyjeb это вирус-вымогатель, который после шифрование личных данных вымогает деньги у жертв. Этот вирус очень похож на Keq4p Ransomware, поэтому логично предполагать, что они принадлежат к одному семейству вредоносных программ. Как и Keq4p, Gyjeb Ransomware присваивает случайную строку символов вместе со своими собственными .gyjeb расширение. Чтобы проиллюстрировать, файл типа "1.pdf" изменит свой вид на что-то вроде 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb , сбросив свой исходный значок. После того, как все файлы будут изменены таким образом, вирус создает текстовую заметку под названием nTLA_HOW_TO_DECRYPT.txt , которая содержит инструкции по расшифровке. Вы можете подробнее ознакомиться с этой заметкой на скриншоте ниже.

Keq4p это программа-вымогатель, которая шифрует личные данные с помощью криптографических алгоритмов. Эти алгоритмы обеспечивают надежную защиту данных от попыток их расшифровки. Файлы, затрагиваемые программами-вымогателями, обычно представляют собой фотографии, видео, музыку, документы и другие типы данных, которые могут иметь определенную ценность. Большинство шифровальщиков изменяют все затронутые файлы, присваивая им новое расширение. Keq4p делает то же самое, но также добавляет строку из случайно сгенерированных символов. К примеру, такой файл как 1.pdf изменится на что-то вроде 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p . Назначенная строка полностью случайна и не представляет какой-либо смысл. Наряду с визуальными изменениями, Keq4p также заканчивает процесс шифрования путем создания текстового документа zB6F_HOW_TO_DECRYPT.txt, который содержит инструкции по выкупу. Вы можете ознакомиться с его полным содержанием на скриншоте ниже.

гидра это вирус-вымогатель, который делает данные пользователей недоступными за счет тщательного шифрования. Помимо невозможности доступа к данным, пользователи также могут заметить некоторые визуальные изменения. Гидра назначает новую строку символов, содержащую адреса электронной почты киберпреступников, случайно сгенерированный идентификатор, назначаемый каждой жертве, и .ГИДРА расширение в конце. Чтобы проиллюстрировать, файл вроде 1.pdf изменится на [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA и сбросьте исходный значок на пустой. Как только все файлы зашифрованы, вирус предлагает инструкции по выкупу, чтобы помочь жертвам в процессе восстановления. Это можно найти внутри # FILESENCRYPTED.txt текстовая заметка, которая создается после шифрования. Разработчики Hydra говорят, что жертвы могут восстановить свои файлы, написав на прикрепленный адрес электронной почты (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com). После этого злоумышленники должны дать дальнейшие инструкции по покупке дешифровки файлов.

Дельта Плюс представляет собой вирус-вымогатель, использующий криптографические алгоритмы для шифрования личных данных. Он присваивает надежные шифры, которые трудно расшифровать без специальных инструментов дешифрования, которыми владеют сами киберпреступники. Чтобы купить эти инструменты, жертв просят отправить эквивалент 6,000 долларов США в биткоинах на крипто-адрес. Стоимость расшифровки также может быть снижена до 3,000 долларов США, если вам удастся произвести оплату в течение первых 72 часов после заражения. Вся эта информация раскрыта в текстовой заметке под названием Помогите восстановить файл Files.txt, который создается сразу после завершения шифрования файлов. Delta Plus добавляет .дельта расширение для всех затронутых файлов. Например, файл типа 1.pdf изменится на 1.pdf.delta и потеряете свой первоначальный значок. После этих изменений пользователи больше не смогут получить доступ к своим файлам, пока не заплатят требуемый выкуп.

Обнаруженный Томасом Мескаускасом, Koxic определен как вирус-вымогатель, который работает путем шифрования данных, хранящихся на ПК. Другими словами, большинство файлов, таких как фотографии, видео, музыка и документы, будут заблокированы вирусом, чтобы пользователи не могли получить к ним доступ. Все зашифрованные файлы также обновляются .KOXIC or .KOXIC_PLCAW расширениям. Это означает, что зашифрованные файлы, по типу 1.pdf изменится на 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Тот же шаблон будет применен к остаточным данным, зашифрованным программой-вымогателем. После завершения работы с шифрованием вирус создает текстовую заметку, в которой объясняются инструкции по выкупу. В этих инструкциях говорится, что жертвы должны связываться с разработчиками через koxic@cock.li or koxic@protonmail.com электронные письма с их личным идентификатором. Этот идентификатор можно найти в записке о выкупе. Если этого не видно, есть вероятность, что какая-то версия Koxic Ransomware, проникшая в вашу систему, все еще находится в стадии разработки и тестирования.