Ransomware

Herrco классифицируется как вредоносная программа-вымогатель. Вирусы такого типа ищут важные данные в системе и блокируют доступ к ним с помощью криптографических алгоритмов. Основная задача разработчиков Herrco - атаковать владельцев бизнеса, владеющих хорошими деньгами, чтобы оплатить расшифровку файлов. Разработчики Herrco Ransomware настроили свое ПО таким образом, чтобы оно изменяло все заблокированные данные с помощью .herrco расширения. К примеру, такой файл, как 1.pdf изменится на 1.pdf.herrco в конце шифрования. Следом за таким изменением идет создание How to decrypt files.txt. Это текстовый файл, предназначенный для подробного объяснения расшифровки. Говорят, что единственный способ восстановить ваши данные в зараженной сети - это связаться с разработчиками и заплатить так называемый выкуп. Цена держится в секрете и зависит от того, как быстро вы обратитесь к киберпреступникам. Чтобы начать разговор с киберпреступниками, жертв просят открыть ссылку Tor и ввести свой личный идентификатор, который указан в верхней части записки с требованием выкупа. Перед этим также предлагается отправить пару файлов, не содержащих ценной информации, для бесплатного дешифрования.

Keversen представляет собой вирус-вымогатель, предназначенный для надежного шифрования данных. Все это делается с целью подтолкнуть жертв к оплате так называемого выкупа для расшифровки заблокированных файлов. Все инструкции по процессу восстановления можно увидеть после того, как все файлы будут зашифрованы. Вирус Keversen переименовывает широкий спектр личных данных (фотографии, видео, документы, базы данных и т. д.) с помощью .keversen . К примеру, такой файл, как 1.pdf изменится на 1.pdf.keversen сразу после шифрования. Все это происходит в мгновение, поэтому вирус невозможно остановить, если только у вас не установлена ​​специальная программа для защиты от программ-вымогателей. Затем, сразу после того, как эта часть шифрования подойдет к концу, Keversen Ransomware перейдет к созданию !=READMY=!.txt записки, в которой рассказывается как восстановить ваши данные.

Infa это очередная программа-вымогатель, которая шифрует различные виды данных, которые хранятся в системе. После полного завершения этого процесса жертвы больше не смогут получить доступ к своим данным. Infa Ransomware назначает одно общее расширение (.infa) ко всем зараженным файлам. Это означает, что файл типа 1.pdf изменится на 1.pdf.infa или аналогично в зависимости от изначального названия. Сразу после того, как все файлы будут переименованы, вирус создаст текстовую заметку под названием readnow.txt бросить на рабочий стол. В нем содержится общая информация о том, как восстановить ваши данные. Как указано в примечании, файлы, такие как фотографии, видео, документы и другие форматы, были зашифрованы. Чтобы стереть добавленные шифры, жертвы должны связаться с киберпреступниками (через stevegabriel2000@gmail.com) и купите специальный ключ дешифрования. Цена составляет 0.0022 BTC, что составляет около 95 долларов на момент написания этой статьи. Также отмечается, что на расшифровку файла отводится 2 дня. Если вы не завершите платеж вовремя, ваши файлы будут удалены из системы. Выбор оплаты за расшифровку - это ваше собственное решение.

MedusaLocker - одно из крупнейших семейств, занимающихся распространением программ-вымогателей. Как и другие вирусы подобного рода, MedusaLocker шифрует данные, хранящиеся на ПК, и требует денежный выкуп в обмен на специальное ПО для дешифровки. .krlock, .L54и .ever101 - самые последние версии от MedusaLocker. Они также являются расширениями, которые присваиваются к каждому файлу. К примеру, такой файл как 1.pdf изменится на 1.pdf.krlock, 1.pdf.L54или 1.ever101 в зависимости от того, какая версия инфицировала вашу систему. Разницы в том, какая версия атаковала вашу сеть особо нет. Все они используют смесь алгоритмов AES и RSA для назначения безопасных шифров поверх данных. Единственное различие может быть в текстовой заметке о выкупе, которая создается после шифрования данных. Несмотря на то, что текст может отличаться, все заметки несут ту же информацию для зараженных пользователей. Вы можете столкнуться с записками о выкупе под названиями Recovery_Instructions.html, HOW_TO_RECOVER_DATA.htmlили аналогичный, ведущий на страницы браузера.

Venomous представляет собой вирус-вымогатель, который блокирует большую часть хранимых данных и требует так называемого выкупа, чтобы вернуть их. Этот процесс более известен как шифрование файлов, поскольку есть криптографические шифры, применяемые вредоносными программами с помощью алгоритмов AES-256. Помимо шифрования файлов на уровне конфигурации, Venomous также изменяет их визуально. Он объединяет оригинальные имена файлов, идентификаторы жертв и .venomous расширение для переименования скомпрометированных данных. Например, такой файл, как "1.pdf", будет отображаться как 1.pdf.FB5MMSJUD2WP.venomous в конце шифрования. Вскоре после этого Venomous перейдет к созданию текстового файла под названием SORRY-FOR-FILES.txt в котором хранятся инструкции по расшифровке. В примечании говорится, что все данные, хранящиеся в вашей системе, были заражены надежными алгоритмами. Также рекомендуется не переименовывать и не редактировать зашифрованные файлы, так как это может привести к их поломке. Чтобы гарантировать гарантированное восстановление данных без повреждений, жертвам предлагается купить ключи дешифрования, хранящиеся у киберпреступников. Для этого пользователи должны отправить свой личный ID в @venomous_support через приложение Telegram или связаться с вымогателями, используя venomous.files@tutanota.com Адрес электронной почты. Кроме того, перед выплатой выкупа предлагается протестировать бесплатную дешифровку. Для этого жертвам предлагается открыть ссылку Tor, прикрепленную к заметке, и загрузить 1 зашифрованный образец данных.

Будучи частью Dharma семейства, Dharma-TOR - еще одна вредоносная программа, которая выполняет шифрование личных данных. Совершая этот акт, разработчики вынуждают жертв платить так называемый выкуп. Первый признак заражения вашей системы Dharma-Tor отражается в новых расширениях файлов. Киберпреступники присваивают жертве персональный идентификатор, контактный адрес и .TOR расширение в конец каждого файла. К примеру, 1.pdf или любые другие файлы, хранящиеся в системе, изменятся на 1.pdf.id-C279F237.[todecrypt@disroot.org].TORили что-то подобное. Вскоре после того, как все данные будут успешно изменены, Dharma-TOR покажет всплывающее окно вместе с текстовым файлом FILES ENCRYPTED.txt, который сбрасывается на рабочий стол. И всплывающее окно, и текстовая заметка предназначены для инструктирования жертв в процессе восстановления. Говорят, что пользователи должны связываться с разработчиками по электронной почте, указанной в расширении, со своим личным идентификатором. В случае отсутствия ответа жертвам предлагается выбрать другой адрес электронной почты, указанный в примечании. После установления успешного контакта с киберпреступниками пользователи, скорее всего, получат платежные инструкции для расшифровки данных.

Пользователи, зараженные Makop Ransomware могут заметить блокировку и изменение данных. У разработчиков Makop есть разные версии, которые используются для заражения системы. Единственная разница между ними заключается в разных расширениях и адресах электронной почты (.hinduism, .gamigin, .dev0и т. д.), используемого для переименования зашифрованных файлов. Остальное можно охарактеризовать как чистую репликацию предыдущих версий Макопа по шаблону. Как только этот вирус будет внедрен на ПК, почти всем доступным данным будет присвоен уникальный идентификатор жертвы, контактный адрес электронной почты и случайное расширение в зависимости от того, какая версия атакует вашу систему. Например, файл типа 1.pdf будет изменен на что-то вроде этого 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduismили аналогично с другими расширениями, такими как .gamigin, .dev0 или .makop. Вскоре после того, как шифрование подходит к концу, вирус создает текстовую заметку под названием readme-warning.txt в каждую папку, содержащую скомпрометированные данные. В примечании перечислен ряд вопросов и ответов, поясняющих детали восстановления. Говорят, что у пользователей есть единственный способ восстановить данные - заплатить за расшифровку в биткойнах. Инструкции по оплате будут получены только после установления контакта по электронной почте (hinduism0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.io, или другой адрес). Точно так же и расширения, контактные адреса - это одна из составляющих уравнения, которая варьируется от человека к человеку.

Gooolag это вирус-вымогатель, который блокирует доступ к данным, а после требует выкуп за их восстановление. Чаще всего этот вирус нацелен на высокодоходные компании. Киберпреступники используют .crptd расширение для изменения каждого зашифрованного файла. К примеру, такой файл, как 1.xls изменится на 1.xls.crptd и сбросит свой исходный значок. После этого жертвы получают инструкции по расшифровке, представленные в текстовой заметке под названием How To Restore Your Files.txt. Записка раскрывает мир мучительной информации о данных. Сначала киберпреступники заявляют, что на анонимные серверы загружено 600 гигабайт важных данных. Затем жертвы получают вызовы с запугиванием - DDoS-атаки (распределенный отказ в обслуживании) на целые домены и контакты компании. Чтобы этого не произошло и не потерять все данные, жертвы обязаны связываться с вымогателями по электронной почте (Gooolag46@protonmail.com or guandong@mailfence.com). Если разработчики заподозрят что-то, связанное с полицией или кибер-властями, это повлияет на процесс восстановления.