Ransomware

Chaos - популярное семейство программ-вымогателей, распространяющее ряд версий вредоносных программ. После заражения большинство файлов, хранящихся в системе, перенастраиваются и становятся недоступными. Это делают киберпреступники, чтобы вымогать у жертв так называемый выкуп в обмен на разблокировку данных. На данный момент существует 4 самые популярные версии, распространяемые Chaos - Axiom, Teddy, Encrypted и AstraLocker Ransomware. Все 4 назначают собственный добавочный номер, блокируя доступ к данным. Например, файл типа 1.pdf может измениться на 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedили 1.pdf.astralocker в зависимости от того, какая версия атаковала вашу сеть. Изначально Chaos назывался Ryuk .Net Ransomware, но затем обновился и стал распространяться под новым названием. Более того, Ryuk.Net только имитировал шифрование с помощью алгоритмов AES + RSA, но фактически использовал кодирование Base64 для повреждения структуры файлов. Не исключено, что то же самое можно встретить и в более новых версиях. Также можно увидеть версию Chaos, добавляющую строку случайных символов в зашифрованные файлы - например, 1.pdf.us00, 1.pdf.wf1d, и так далее. Как только шифрование (или поддельное шифрование) подходит к концу, вирус создает текстовую заметку с инструкциями по восстановлению ваших данных. Вот названия, а также содержание каждой текстовой заметки, создаваемой разными версиями (README.txt, read_it.txt, READ_ME_NOW.txt.

Tohnichi является программой-вымогателем, которая изменяет расширения файлов после их шифрования. .tohnichi - имя нового расширения, которое присваивается каждому файлу. Это означает, что все зашифрованные файлы будут выглядеть примерно вот так 1.pdf.tohnichi после завершения шифрования. Последний шаг Tohnichi, - это How to decrypt files.txt, текстовый файл, созданный вредоносным ПО для объяснения инструкций по расшифровке. Прежде всего, сообщается, что ваша сеть была взломана, что позволило вымогателям зашифровать ваши данные. Затем киберпреступники говорят, что они единственные фигуры, способные выполнить безопасное и полное дешифрование данных. Для этого жертв просят установить связь, используя ссылку браузера Tor, и заплатить за программное обеспечение для дешифрования. Цена держится в секрете и зависит от того, как быстро вы свяжетесь с разработчиками. После завершения платежа разработчики обещают отправить уникальный инструмент дешифрования для восстановления данных. Кроме того, разработчики программ-вымогателей заявляют, что могут расшифровать несколько файлов (не содержащих ценной информации) перед тем, как заплатить выкуп бесплатно. Это действительно хорошее предложение, но все же недостаточное, чтобы доверять киберпреступникам на индивидуальной основе.

Zeppelin был обнаружен ГруяРС, который представляет собой вредоносную программу, которая заражает компьютеры и шифрует данные пользователя. Такие программы обычно предназначены для зарабатывания денег на отчаявшихся пользователях, у которых заблокированы файлы. Как обычно, с шифрованием происходит значительное изменение расширения файла - он переименовывает их, используя шестнадцатеричную систему счисления, примерно так 1.mp4.126-A9A-0E9. На самом деле расширение может отличаться символами, поскольку вирус может генерировать случайные значения. После завершения шифрования Zepellin создает текстовый файл с именем !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT на вашем рабочем столе. В этой заметке вымогатели оскорбляют вас с помощью выкупа, призывая вас связаться с ними и купить определенный ключ. К сожалению, на данный момент нет проверенного метода, который мог бы бесплатно расшифровать ваши данные. Единственный способ сделать это - следовать их инструкциям, что представляет собой огромный риск. Хотя решение лежит на ваших плечах, мы рекомендуем вам удалить Zeppelin Ransomware в приведенном ниже руководстве.

МОСН классифицируется как программа-вымогатель, занимающаяся вымогательством денег у жертв после шифрования данных. Обычно такие вирусы нацелены на все потенциально важные файлы, такие как фотографии, видео, документы, базы данных и т. д., которые представляют некоторую ценность для жертв. Шифрование данных можно заметить благодаря новым расширениям, которые назначаются каждому инфицированному файлу. К пример, файл с именем 1.pdf изменится на 1.pdf.MOSN в конце шифрования. То же самое произойдет и с другими данными. Затем, вскоре после этого, MOSN устанавливает новые обои на весь экран, где отображается краткое информация о дешифровке данных. Говорится, что жертвам следует связываться с разработчиками через walter1964@mail2tor.com адрес электронной почты и заплатить 300$ в биткойнах за выкуп данных. Кроме этого, MOSN Ransomware еще создает текстовый файл с именем INFORMATION_READ_ME.txt , который объясняет то же самое, но также упоминает количество зашифрованных файлов и уникальный идентификатор, который нужно прикрепить в письме мошенникам.

Divinity, Matafaka и Army - три вируса-вымогателя, выпущенные группой разработчиков, известной как Xorist. После успешного заражения вашей системы эти вирусы изменяют названия файлов, хранящихся в системе. В зависимости от того, какая версия атаковала ваш компьютер, любое изображение, видео, музыка или документ, такой как 1.pdf изменится на 1.pdf.divinity, 1.pdf.matafakaили 1.pdf.army. После визуального изменения каждого файла, все версии отображают текстовое сообщение во всплывающих окнах или блокнот файле (HOW TO DECRYPT FILES.txt). Текст отличается для каждой версии. Для иллюстрации: Матафака и Арми практически не предоставляют информации о расшифровке данных. Они упоминают, что ваш компьютер взломан, но не предоставляют никакой информации или инструкций по оплате для восстановления данных. Причина этого может заключаться в том, что эти версии все еще находятся в стадии разработки и тестирования. Не исключено, что в сети уже циркулируют полные версии с полноценными инструкциями. Divinity - единственная версия из списка, имеющая контактные данные для оплаты выкупа. Для этого пользователей просят написать прямое сообщение в @lulzed Telegram или @dissimilate в Twitter. Обратите внимание, что семейство Xorist Ransomware использует алгоритмы XOR и TEA для шифрования личных данных. Данные, зашифрованные такими шифрами, с меньшей вероятностью будут дешифрованы без участия киберпреступников. Несмотря на это, категорически не рекомендуется удовлетворять требования мошенничества с цифрами.

Herrco классифицируется как вредоносная программа-вымогатель. Вирусы такого типа ищут важные данные в системе и блокируют доступ к ним с помощью криптографических алгоритмов. Основная задача разработчиков Herrco - атаковать владельцев бизнеса, владеющих хорошими деньгами, чтобы оплатить расшифровку файлов. Разработчики Herrco Ransomware настроили свое ПО таким образом, чтобы оно изменяло все заблокированные данные с помощью .herrco расширения. К примеру, такой файл, как 1.pdf изменится на 1.pdf.herrco в конце шифрования. Следом за таким изменением идет создание How to decrypt files.txt. Это текстовый файл, предназначенный для подробного объяснения расшифровки. Говорят, что единственный способ восстановить ваши данные в зараженной сети - это связаться с разработчиками и заплатить так называемый выкуп. Цена держится в секрете и зависит от того, как быстро вы обратитесь к киберпреступникам. Чтобы начать разговор с киберпреступниками, жертв просят открыть ссылку Tor и ввести свой личный идентификатор, который указан в верхней части записки с требованием выкупа. Перед этим также предлагается отправить пару файлов, не содержащих ценной информации, для бесплатного дешифрования.

Keversen представляет собой вирус-вымогатель, предназначенный для надежного шифрования данных. Все это делается с целью подтолкнуть жертв к оплате так называемого выкупа для расшифровки заблокированных файлов. Все инструкции по процессу восстановления можно увидеть после того, как все файлы будут зашифрованы. Вирус Keversen переименовывает широкий спектр личных данных (фотографии, видео, документы, базы данных и т. д.) с помощью .keversen . К примеру, такой файл, как 1.pdf изменится на 1.pdf.keversen сразу после шифрования. Все это происходит в мгновение, поэтому вирус невозможно остановить, если только у вас не установлена ​​специальная программа для защиты от программ-вымогателей. Затем, сразу после того, как эта часть шифрования подойдет к концу, Keversen Ransomware перейдет к созданию !=READMY=!.txt записки, в которой рассказывается как восстановить ваши данные.

Infa это очередная программа-вымогатель, которая шифрует различные виды данных, которые хранятся в системе. После полного завершения этого процесса жертвы больше не смогут получить доступ к своим данным. Infa Ransomware назначает одно общее расширение (.infa) ко всем зараженным файлам. Это означает, что файл типа 1.pdf изменится на 1.pdf.infa или аналогично в зависимости от изначального названия. Сразу после того, как все файлы будут переименованы, вирус создаст текстовую заметку под названием readnow.txt бросить на рабочий стол. В нем содержится общая информация о том, как восстановить ваши данные. Как указано в примечании, файлы, такие как фотографии, видео, документы и другие форматы, были зашифрованы. Чтобы стереть добавленные шифры, жертвы должны связаться с киберпреступниками (через stevegabriel2000@gmail.com) и купите специальный ключ дешифрования. Цена составляет 0.0022 BTC, что составляет около 95 долларов на момент написания этой статьи. Также отмечается, что на расшифровку файла отводится 2 дня. Если вы не завершите платеж вовремя, ваши файлы будут удалены из системы. Выбор оплаты за расшифровку - это ваше собственное решение.