Ransomware

Новый криптовирус, известный как ЛюциферКрипт пару дней назад вошел в игру, чтобы зашифровать личные данные. Пока идет исследование, уже очевидно, что эта программа-вымогатель ограничивает доступ к данным, присваивая длинную строку расширения (.id=[].email=[].LuciferCrypt). Быстрая иллюстрация зараженного образца будет выглядеть так 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. После завершения процесса шифрования вирус продолжает свое присутствие, создавая текстовый файл с именем HowToRecoverFiles.txt. В этом документе вымогатели уведомляют жертв об успешном шифровании. Чтобы восстановить его, жертвы должны связаться с киберпреступниками по электронной почте и заплатить сбор за восстановление файлов. После этого ваши данные будут расшифрованы автоматически, без каких-либо манипуляций. Также говорят, что цена напрямую зависит от того, насколько быстро вы ответите мошенникам. Перед этим вы также можете воспользоваться бесплатной дешифровкой. Разработчики предлагают прислать до 3 файлов (менее 4 МБ и не в архиве), которые не должны содержать ценной информации.

После Помпа-вымогатель атакует вашу систему, все данные связываются сильными алгоритмами, ограничивающими доступ к ним. Вредоносная программа добавляет .насос расширение файлов, которые он кодирует. Например, файл типа 1.mp4 приобретет новый вид 1.mp4.pump и сбросить исходный значок. Расширение, примененное в конце, означает, что ваши файлы зашифрованы. Такие модификации обычно сопровождаются созданием инструкций по выкупу. В нашем случае вирус сбрасывает текстовый файл с именем README.txt это поможет вам восстановить файлы. Содержимое, представленное внутри, короткое, киберпреступники прикрепляли свой адрес электронной почты только для того, чтобы позвонить жертвам и связаться с ними. Затем они якобы дадут дальнейшие инструкции о том, как приобрести программное обеспечение для дешифрования. Какова бы ни была цена, выполнение запросов мошенников рискованно - они могут дать глупые обещания и не оставить вам инструментов даже после оплаты.

MARS Ransomware - это вредоносная программа, обнаруженная Майклом Гиллеспи. Способ, которым он шифрует файлы, очень похож на другие заражения такого типа - путем добавления нового .mars or .vyb расширение, чтобы выделить затронутые данные. Жертвы увидят, как их файлы превращаются во что-то вроде этого 1.mp4.mars or 1.mp4.vyb. В результате этих действий пользователи не могут открывать файлы или взаимодействовать с ними. Чтобы исправить это и восстановить ваши данные, киберпреступники предлагают прочитать инструкции в текстовой заметке (!!!MARS_DECRYPT.TXT), созданный после шифрования. Он сообщает вам, что различные типы данных, хранящиеся на вашем компьютере, были зашифрованы с помощью вируса. Чтобы вернуть его, люди должны заплатить 500 долларов в биткоинах за ключ дешифрования. Перед этим вымогатели настаивают на отправке до 3 файлов для бесплатного дешифрования, чтобы убедиться в их надежности. После этого команда киберпреступников ответит ссылкой для оплаты для покупки своего программного обеспечения. Вы также можете связаться с разработчиками через Telegram и сразу купить ключ, не тестируя бесплатную расшифровку. Хотя такие функции, предоставляемые мошенниками, могут внушить доверие к их намерениям, не рекомендуется соглашаться с тем, что они говорят, поскольку нет реальной гарантии, что они вернут ваши данные в целости и сохранности.

ФайлИнжиниринг является примером заражения программами-вымогателями, настраивающими файлы жертв для ограничения доступа к ним. В большинстве случаев пользователи не замечают вредоносного ПО, проникающего в системы. Когда-то давным-давно они видели, что их данные изменены и заблокированы от обычного доступа. FileEngineering делает это таким образом - путем присвоения идентификатора жертвам, адреса электронной почты киберпреступника и .зашифровано расширение у файлов. В сети распространяются две версии FileEngineering. Единственное отличие состоит в том, что для связи с мошенниками используются разные адреса электронной почты. Например, ваши данные могут отображаться как 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted в зависимости от того, какая версия затронула ваш компьютер. Затем следующим шагом FileEngineering является создание заметки под названием Верните свои файлы! .Txt который содержит информацию о расшифровке. Внутри него к информации обращается так называемый инженер по безопасности. Он говорит, что вам следует связаться с ним по электронной почте и заплатить некоторую сумму биткойнами. Затем он вернет ваши файлы в расшифрованном виде и даст несколько советов по повышению вашей безопасности. Перед этим вам также разрешено отправить небольшой файл, чтобы доказать, что он может разблокировать ваши данные. Довериться киберпреступникам - это всегда огромный риск, поэтому решать вам, хотите вы этого или нет. Если файлы не представляют для вас особой ценности, вы можете просто удалить FileEngineering и продолжить использовать свой компьютер.

Вс or СанКрипт классифицируется как системы криптовирусной атаки для шифрования личных данных. Он начал свой путь в октябре 2019 года и продолжает свое присутствие, заражая пользователей до сих пор. В тот момент, когда SunCrypt можно обнаружить на вашем ПК, это когда он изменяет ваши файлы, добавляя .sun расширение. Также было слышно о другой версии SunCrypt, которая применяет строку случайных символов вместо расширений. Изменение на что-то вроде этого 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 означает, что вам больше не разрешен доступ к своим данным. Чтобы восстановить его обратно, SunCrypt создает текстовые заметки (DECRYPT_INFORMATION.html or ВАШ_ФАЙЛЫ_ARE_ENCRYPTED.HTML), которые содержат инструкции по выкупу. Хотя SunCrypt в основном ориентирован на англоговорящих пользователей, у вас также есть возможность переключаться между немецким, французским и испанским языками. Это значительно увеличивает трафик жертв, позволяя разработчикам расширять свой бизнес. Как указано в примечании, жертвам необходимо установить браузер Tor и нажать «Перейти на наш веб-сайт», чтобы приобрести программное обеспечение для дешифрования. Требуемый сбор может варьироваться в зависимости от конкретного случая, однако, независимо от того, насколько он низок или высок, мы не рекомендуем идти на такой риск.

Дхарма-259 - это вирус-вымогатель, принадлежащий к семейству Дхарма. Эта группа разработчиков оказала наибольшее влияние на индустрию вредоносных программ. Имея ряд вредоносных программ, 259 дополняет список и шифрует личные данные с помощью надежных алгоритмов, которые предотвращают регулярный доступ пользователей. В результате все данные меняют свое название на строку цифр, включая личный идентификатор, адрес электронной почты киберпреступника и .259 расширение в конце каждого файла. Например, обычные 1.mp4 испытает изменение чего-то вроде этого 1.mp4.id-C279F237.[259461356@qq.com].259 и сбросить его значок по умолчанию. Затем, когда процесс шифрования подходит к концу, вирус принудительно открывает всплывающее окно и создает текстовую заметку под названием FILES ENCRYPTED.txt, оба из которых содержат информацию после восстановления данных. Как указано и во всплывающем окне, и в примечании, жертвы должны связываться с мошенниками по электронной почте с прикреплением личного идентификатора. В дополнение к этому вы можете отправить до 1 файла (менее 1 МБ) для бесплатной расшифровки. Затем, как только вымогатели получат ваше сообщение, вы получите инструкции по покупке программного обеспечения для дешифрования. Иногда требуемая плата может стремительно расти, становясь недоступной для большинства пользователей. Даже если вы готовы обогатить киберпреступников, покупающих их программное обеспечение, мы не рекомендуем этого делать, поскольку большинство пользователей сообщают о высоком риске быть обманутыми и не получают никаких инструментов для восстановления данных.

Разработан группой турецких вымогателей, СифреЧикис это программа-вымогатель, которая шифрует личные данные и требует оплаты за восстановление. Он создает надежный шифр для конфиденциальных данных с использованием алгоритмов AES и RSA. В результате расшифровывать файлы становится сложно даже с помощью сторонних инструментов. Все данные, зашифрованные SifreCikis, получают новое расширение на основе этих шаблонов: . {случайная-буквенно-цифровая-последовательность}. К примеру, файл вроде 1.txt изменится на что-то вроде этого 1.txt.E02F4934FC5A. Затем, после завершения шифрования, пользователи обнаруживают заметку под названием *** NA *** который содержит инструкции по выкупу. К сожалению, содержание заметки трудно понять тем, кто не является носителем языка, однако группа исследователей перевела ее и изложила некоторую ключевую информацию. В нем утверждается, что вы должны связываться с киберпреступниками по электронной почте и прикреплять свой личный идентификатор в теме сообщения. Затем вы получите дальнейшие инструкции по покупке программного обеспечения для дешифрования (500 долларов США в биткоинах). Если нет ответа от вымогателей, вам следует ознакомиться с информацией по ссылке в браузере Tor. Исследователи вредоносного ПО обнаружили доменное имя, начинающееся с Sifrecikx, что созвучно сифре цикис (что означает «шифр / пароль + выход» на турецком языке). Кроме того, в ходе расследования исследователи определили, что СифреЧикис мог быть братом СифреКозуку, так как он выглядит очень похожим с небольшими отличиями.

Триполи классифицируется как заражение программой-вымогателем, предназначенной для шифрования личных данных. Обычно основной целью являются фотографии, видео, документы и другие файлы, в которых могут храниться конфиденциальные данные. После того, как этот вирус атакует вашу систему, все файлы будут затронуты .зашифровано расширение. Некоторые жертвы сообщили, что расширение вроде .триполи также существует, а это означает, что существует две версии Tripoli Ransomware. На самом деле, не имеет значения, какой из них проник на ваш компьютер, потому что принцип их работы практически одинаков. В результате шифрования всем файлам будет запрещен обычный доступ, пользователи больше не смогут их открывать или изменять. Чтобы исправить это, вымогатели предлагают выполнить действия, указанные в текстовой заметке (HOW_FIX_FILES.htm). Эти шаги обязывают жертв установить браузер Tor и приобрести программное обеспечение для дешифрования по прилагаемому адресу. Решение о платеже должно быть принято в течение 10 дней. Мы настаиваем на недопустимости мошеннических действий, поскольку нет гарантии, что они отправят вам обещанные инструменты. Лучше всего удалить Tripoli Ransomware и восстановить потерянные файлы из внешней резервной копии (USB-накопитель). Если у вас его нет, попробуйте использовать приведенные ниже рекомендации для доступа к своим данным.