Ransomware

Dharma это семейство программ-вымогателей, которое считается крупнейшим разработчиком вирусов такого рода. Было замечено множество версий, атакующих пользователей путем шифрования данных и сообщений с требованием о выкупе. Тем не менее, одна из последних версий, которая была особенно активна, называется yoAD Ransomware. Подобно аналогичным вирусам этого типа, она присваивает новое .yoAD расширение со случайным идентификатором и электронной почтой киберпреступников для каждого фрагмента данных, хранящегося на скомпрометированном компьютере. Например, исходный файл вроде 1.mp4 будет изменен на 1.mp4.id-C279F237.[yourfiles1@cock.li].yoAD, или аналогично. Такие изменения делают ваши файлы недоступными, поскольку любые попытки их открытия будут отклонены. Затем, когда этот процесс подходит к концу, вирус создает текстовые инструкции. Они представлены в FILES ENCRYPTED.txt документ прямо на вашем рабочем столе. Как утверждают вымогатели, единственный способ восстановить ваши данные - связаться с ними по электронной почте. Затем они предположительно дадут вам криптокошелек для отправки денег в биткойнах. После этого вам будут предоставлены необходимые инструменты для восстановления ваших данных. К сожалению, этот метод подходит не всем, поскольку суммы, запрашиваемые киберпреступниками, могут быть астрономически высокими и их нелегко заплатить.

Крипто-вымогатель Mijnal представляет собой инфекцию типа программы-вымогателя, которая кодирует личные данные с помощью алгоритмов AES + RSA. Применение таких средств означает, что присвоенный шифр сложно взломать традиционными методами. Другими словами, он предотвращает ручное дешифрование после блокировки данных. К сожалению, в большинстве случаев это действительно невозможно, но вы должны попробовать после прочтения этого текста. Как и другие инфекции, Mijnal шифрует ваши данные, изменяя расширение файла на .mijnal. Например, такой пример, как «1.mp4», будет изменен на «1.mp4.mijnal» и восстановлен исходный значок. После завершения процесса шифрования вирус создает текстовую заметку «README_LOCK.txt», содержащую инструкции по восстановлению. Информация, представленная внутри, написана на русском языке, а это значит, что разработчики в основном ориентируются на регионы СНГ. Однако есть некоторые англичане, которых это может коснуться. Если вы хотите как можно скорее расшифровать свои данные, киберпреступники просят жертв открыть прикрепленную ссылку через браузер Tor и сразу же следовать инструкциям. Тогда вымогатели, скорее всего, попросят вас заплатить определенную сумму в биткойнах, чтобы получить доступ к вашим данным. Несмотря на то, что уплата выкупа обычно является единственным способом преодолеть шифрование данных, мы не рекомендуем удовлетворять любые запросы, поскольку это может быть опасно для вашего кармана и конфиденциальности.

Лейтккад является чистым примером крипто-вредоносной программы, которая выполняет шифрование личных данных с целью получения так называемого выкупа. Наиболее яркие симптомы, указывающие на присутствие Leitkcad, - это назначение .leitkcad расширение. Другими словами, он будет отображаться в конце каждого файла, пораженного вредоносным ПО. Например, файл типа 1.mp4 изменится на 1.mp4.leitkcad и сбросить исходный значок. Затем, когда все файлы изменены, вирус переходит к следующему этапу, создавая заметку под названием помощь-leitkcad.txt. Он содержит информацию о шифровании, а также инструкции по восстановлению ваших данных. Киберпреступники говорят, что вам следует связаться с оператором и ввести свой идентификатор, личный ключ и адрес электронной почты через страницу чата. Ссылка на него может быть открыта только через браузер Tor, который должен быть загружен жертвами. Затем, после установления контакта с киберпреступниками, вы получите дальнейшие инструкции о том, как приобрести программное обеспечение для дешифрования. Также стоит отметить, что перезагрузка и изменение зашифрованных файлов может привести к безвозвратной потере. Вымогатели устанавливают определенные алгоритмы, которые помогают им обнаруживать вашу активность. Это означает, что если вы откажетесь соблюдать любое из вышеперечисленных предупреждений, ваши файлы будут немедленно удалены.

Новый криптовирус, известный как ЛюциферКрипт пару дней назад вошел в игру, чтобы зашифровать личные данные. Пока идет исследование, уже очевидно, что эта программа-вымогатель ограничивает доступ к данным, присваивая длинную строку расширения (.id=[].email=[].LuciferCrypt). Быстрая иллюстрация зараженного образца будет выглядеть так 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. После завершения процесса шифрования вирус продолжает свое присутствие, создавая текстовый файл с именем HowToRecoverFiles.txt. В этом документе вымогатели уведомляют жертв об успешном шифровании. Чтобы восстановить его, жертвы должны связаться с киберпреступниками по электронной почте и заплатить сбор за восстановление файлов. После этого ваши данные будут расшифрованы автоматически, без каких-либо манипуляций. Также говорят, что цена напрямую зависит от того, насколько быстро вы ответите мошенникам. Перед этим вы также можете воспользоваться бесплатной дешифровкой. Разработчики предлагают прислать до 3 файлов (менее 4 МБ и не в архиве), которые не должны содержать ценной информации.

После Помпа-вымогатель атакует вашу систему, все данные связываются сильными алгоритмами, ограничивающими доступ к ним. Вредоносная программа добавляет .насос расширение файлов, которые он кодирует. Например, файл типа 1.mp4 приобретет новый вид 1.mp4.pump и сбросить исходный значок. Расширение, примененное в конце, означает, что ваши файлы зашифрованы. Такие модификации обычно сопровождаются созданием инструкций по выкупу. В нашем случае вирус сбрасывает текстовый файл с именем README.txt это поможет вам восстановить файлы. Содержимое, представленное внутри, короткое, киберпреступники прикрепляли свой адрес электронной почты только для того, чтобы позвонить жертвам и связаться с ними. Затем они якобы дадут дальнейшие инструкции о том, как приобрести программное обеспечение для дешифрования. Какова бы ни была цена, выполнение запросов мошенников рискованно - они могут дать глупые обещания и не оставить вам инструментов даже после оплаты.

MARS Ransomware - это вредоносная программа, обнаруженная Майклом Гиллеспи. Способ, которым он шифрует файлы, очень похож на другие заражения такого типа - путем добавления нового .mars or .vyb расширение, чтобы выделить затронутые данные. Жертвы увидят, как их файлы превращаются во что-то вроде этого 1.mp4.mars or 1.mp4.vyb. В результате этих действий пользователи не могут открывать файлы или взаимодействовать с ними. Чтобы исправить это и восстановить ваши данные, киберпреступники предлагают прочитать инструкции в текстовой заметке (!!!MARS_DECRYPT.TXT), созданный после шифрования. Он сообщает вам, что различные типы данных, хранящиеся на вашем компьютере, были зашифрованы с помощью вируса. Чтобы вернуть его, люди должны заплатить 500 долларов в биткоинах за ключ дешифрования. Перед этим вымогатели настаивают на отправке до 3 файлов для бесплатного дешифрования, чтобы убедиться в их надежности. После этого команда киберпреступников ответит ссылкой для оплаты для покупки своего программного обеспечения. Вы также можете связаться с разработчиками через Telegram и сразу купить ключ, не тестируя бесплатную расшифровку. Хотя такие функции, предоставляемые мошенниками, могут внушить доверие к их намерениям, не рекомендуется соглашаться с тем, что они говорят, поскольку нет реальной гарантии, что они вернут ваши данные в целости и сохранности.

ФайлИнжиниринг является примером заражения программами-вымогателями, настраивающими файлы жертв для ограничения доступа к ним. В большинстве случаев пользователи не замечают вредоносного ПО, проникающего в системы. Когда-то давным-давно они видели, что их данные изменены и заблокированы от обычного доступа. FileEngineering делает это таким образом - путем присвоения идентификатора жертвам, адреса электронной почты киберпреступника и .зашифровано расширение у файлов. В сети распространяются две версии FileEngineering. Единственное отличие состоит в том, что для связи с мошенниками используются разные адреса электронной почты. Например, ваши данные могут отображаться как 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted в зависимости от того, какая версия затронула ваш компьютер. Затем следующим шагом FileEngineering является создание заметки под названием Верните свои файлы! .Txt который содержит информацию о расшифровке. Внутри него к информации обращается так называемый инженер по безопасности. Он говорит, что вам следует связаться с ним по электронной почте и заплатить некоторую сумму биткойнами. Затем он вернет ваши файлы в расшифрованном виде и даст несколько советов по повышению вашей безопасности. Перед этим вам также разрешено отправить небольшой файл, чтобы доказать, что он может разблокировать ваши данные. Довериться киберпреступникам - это всегда огромный риск, поэтому решать вам, хотите вы этого или нет. Если файлы не представляют для вас особой ценности, вы можете просто удалить FileEngineering и продолжить использовать свой компьютер.

Вс or СанКрипт классифицируется как системы криптовирусной атаки для шифрования личных данных. Он начал свой путь в октябре 2019 года и продолжает свое присутствие, заражая пользователей до сих пор. В тот момент, когда SunCrypt можно обнаружить на вашем ПК, это когда он изменяет ваши файлы, добавляя .sun расширение. Также было слышно о другой версии SunCrypt, которая применяет строку случайных символов вместо расширений. Изменение на что-то вроде этого 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 означает, что вам больше не разрешен доступ к своим данным. Чтобы восстановить его обратно, SunCrypt создает текстовые заметки (DECRYPT_INFORMATION.html or ВАШ_ФАЙЛЫ_ARE_ENCRYPTED.HTML), которые содержат инструкции по выкупу. Хотя SunCrypt в основном ориентирован на англоговорящих пользователей, у вас также есть возможность переключаться между немецким, французским и испанским языками. Это значительно увеличивает трафик жертв, позволяя разработчикам расширять свой бизнес. Как указано в примечании, жертвам необходимо установить браузер Tor и нажать «Перейти на наш веб-сайт», чтобы приобрести программное обеспечение для дешифрования. Требуемый сбор может варьироваться в зависимости от конкретного случая, однако, независимо от того, насколько он низок или высок, мы не рекомендуем идти на такой риск.