Ransomware

Дельта Плюс представляет собой вирус-вымогатель, использующий криптографические алгоритмы для шифрования личных данных. Он присваивает надежные шифры, которые трудно расшифровать без специальных инструментов дешифрования, которыми владеют сами киберпреступники. Чтобы купить эти инструменты, жертв просят отправить эквивалент 6,000 долларов США в биткоинах на крипто-адрес. Стоимость расшифровки также может быть снижена до 3,000 долларов США, если вам удастся произвести оплату в течение первых 72 часов после заражения. Вся эта информация раскрыта в текстовой заметке под названием Помогите восстановить файл Files.txt, который создается сразу после завершения шифрования файлов. Delta Plus добавляет .дельта расширение для всех затронутых файлов. Например, файл типа 1.pdf изменится на 1.pdf.delta и потеряете свой первоначальный значок. После этих изменений пользователи больше не смогут получить доступ к своим файлам, пока не заплатят требуемый выкуп.

Обнаруженный Томасом Мескаускасом, Koxic определен как вирус-вымогатель, который работает путем шифрования данных, хранящихся на ПК. Другими словами, большинство файлов, таких как фотографии, видео, музыка и документы, будут заблокированы вирусом, чтобы пользователи не могли получить к ним доступ. Все зашифрованные файлы также обновляются .KOXIC or .KOXIC_PLCAW расширениям. Это означает, что зашифрованные файлы, по типу 1.pdf изменится на 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. Тот же шаблон будет применен к остаточным данным, зашифрованным программой-вымогателем. После завершения работы с шифрованием вирус создает текстовую заметку, в которой объясняются инструкции по выкупу. В этих инструкциях говорится, что жертвы должны связываться с разработчиками через koxic@cock.li or koxic@protonmail.com электронные письма с их личным идентификатором. Этот идентификатор можно найти в записке о выкупе. Если этого не видно, есть вероятность, что какая-то версия Koxic Ransomware, проникшая в вашу систему, все еще находится в стадии разработки и тестирования.

Porn классифицируется как вирус-вымогатель, нацеленный на шифрование личных данных. Такие файлы, как фотографии, документы, музыка и видео будут зашифрованы программой-вымогателем Porn Ransomware. Чтобы отличить зашифрованные файлы от обычных, разработчики присваивают .porn расширение к каждому зашифрованному файлу. К примеру, такой файл, как 1.pdf изменится на 1.pdf.porn и сбросит свой исходный значок. После этого вирус начинает требовать так называемый выкуп за восстановление ваших данных. Эту информацию можно увидеть во всплывающем окне или текстовой заметке под названием RECUPERAR __. Porn.txt. Внутри этой заметки и всплывающего окна злоумышленники отображают количество файлов, которые они расшифровали. Чтобы стереть назначенные шифры, разработчики Porn просят жертв отправить 1 BTC на прикрепленный крипто-адрес, а затем отправить им по электронной почте идентификатор транзакции. К сожалению, не многие жертвы могут позволить себе заплатить цену в 1 BTC (42,000 долларов США).

BlackByte - так называется вирус-шифровальщик, который блокирует доступ к файлам, хранящимся на устройстве. Эти вредоносные программы более известны под названием программы-вымогатели, поскольку они вымогают деньги у жертв за восстановление данных. Несмотря на то, что BlackByte является новым и мало изученным вирусом, уже известно достаточно, чтобы отличить его от других инфекций. Одна из таких особенностей - это .blackbyte расширение, которое добавляется к каждому зашифрованному файлу. К примеру, такой файл, как 1.pdf изменит свое расширение на 1.pdf.blackbyte и сбросит исходный значок. Следующим шагом после шифрования всех доступных данных является создание записки с требованием выкупа. BlackByte генерирует BlackByte_restoremyfiles.hta файл, в котором отображаются сведения о восстановлении. Внутри жертвам предлагается связаться с киберпреступниками по электронной почте. Это действие обязательно для получения дальнейших инструкций по покупке дешифратора файлов. Этот дешифратор уникален и принадлежит только киберпреступникам. Цена выкупа может варьироваться от человека к человеку, достигая сотен долларов. Имейте в виду, что уплата выкупа - это всегда риск потерять деньги впустую. Многие вымогатели, как правило, обманывают своих жертв и не присылают никаких инструментов дешифрования даже после получения запрошенных денег. К сожалению, не существует сторонних дешифраторов, которые могут гарантировать 100% расшифровку файлов BlackByte.

Ranion является семейством вредоносных программ, которое разрабатывает и распространяет вирусы-вымогатели. Самая последняя версия носит название R44s, шифрует данные с помощью надежных криптографических алгоритмов, а затем требует деньги за выкуп. Жертвы могут заметить шифрование данных визуально. Первые версии Ranion Ransomware, обнаруженные в ноябре 2017 г. использовали .ransom расширение. Теперь вирус присваивает расширение .r44s расширение на все скомпрометированные части. Вот краткий пример того, как файлы будут выглядеть после успешного шифрования: 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44sи т. д. в зависимости от оригинального имени файла. Сразу после завершения этого процесса R44s создает HTML-файл под названием README_TO_DECRYPT_FILES.html.

Обнаруженный одним из исследователей вредоносного ПО под псевдонимом S!Ri, Artemis принадлежит к семейству программ-вымогателей PewPew. Эта мошенническая группировка распространяет множество вирусов, которые шифрует персональные данные. Artemis - одна из последних версий выпущенных крипто-блокировщиков, которая ограничивает доступ к большинству хранимых данных с помощью многоуровневых криптографических алгоритмов. Эти алгоритмы обеспечивают надежное шифрование данных, что не позволяет пользователям их открыть. Кроме того, зашифрованные файлы Artemis также изменяются и визуально. К примеру, файл 1.pdf изменится на что-то вроде 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis и сбросить исходный значок. Эта строка состоит из идентификатора жертвы, khalate@tutanota.com электронной почты и .artemis расширения в конце. Затем, как только шифрование подходит к концу, Artemis создает файл под названием info-decrypt.hta , который открывается на весь экран. Последние версии вредоносного ПО используют следующий шаблон ReadMe- [идентификатор_ жертвы] .txt для именования записки о выкупе и расширения .ultimate и .999 (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate и 1.pdf.id [идентификатор_ жертвы]. [restoreisscus@gmail.com] .999).

GoodMorning - это вредоносная программа, классифицируемая как вирус-вымогатель. Основная цель разработчиков - заработать деньги на жертвах, чьи данные зашифрованы надежными шифрами. Обычно жертвы узнают о заражении после того, как GoodMorning назначает файлам новое составное расширение (оканчивающееся на .GoodMorning, .LOCKED or .НАСТОЯЩИЙ). К примеру, 1.pdf и другие файлы, хранящиеся в системе, будут изменены в соответствии с этим шаблоном 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Идентификатор внутри расширений будет отличаться индивидуально, так как он уникален для каждой из жертв. Затем, когда все файлы зашифрованы и визуально изменены, вирус создает текстовые заметки, называемые либо GoodMorning.txt, ReadIt.txt or ReadMe.txt. Она содержит инструкции о том, как восстановить ваши данные.

Pagar это программа-вымогатель, которая заражает системы Windows для шифрования личных данных. Это влияет на конфигурацию сохраненных файлов, делая их полностью недоступными. Это означает, что любые попытки открыть файлы будут отклонены из-за шифрования. Помимо изменений конфигурации, Pagar Ransomware также изменяет данные с помощью визуальных средств - назначая .pagar40br @ gmail.com расширение для каждого зашифрованного файла. К примеру, такой файл, как 1.pdf изменится на 1.pdf.pagar40br@gmail.com и сбросит свой исходный значок. После того, как доступ ко всем файлам будет ограничен, Pagar создаст записку с требованием о выкупе под названием Urgent Notice.txt, в котором объясняется, как восстановить данные. Разработчики программ-вымогателей говорят кратко и говорят, что у вас есть 72 часа, чтобы отправить 0.035 BTC на прикрепленный кошелек. Сразу после завершения платежа жертвы должны связаться с разработчиками через pagar40br@gmail.com, указав свой собственный адрес кошелька и уникальный идентификатор (указанный в примечании). К сожалению, нет никакой информации о том, можно ли доверять разработчикам Pagar.