Ransomware

LockShit BLACKED Ransomware — это тип вредоносного программного обеспечения, нацеленного на компании по всему миру, шифрующего их данные и требующего выкуп за ключ дешифрования. Он известен своей агрессивной тактикой, в том числе угрозами неоднократного нападения на компанию, если выкуп не будет выплачен. Программа-вымогатель меняет обои рабочего стола и создает записку с требованием выкупа под названием KJHEJgtkhn.READMEt.txt чтобы предоставить жертвам инструкции о том, как действовать. После заражения компьютера программа-вымогатель LockShit BLACKED добавляет к зашифрованным файлам уникальное расширение, которое .KJHEJgtkhn. Конкретный алгоритм шифрования, используемый LockShit BLACKED, не подробно описан в предоставленных источниках, но программы-вымогатели обычно используют надежные методы шифрования, такие как AES или RSA, что затрудняет расшифровку файлов без соответствующего ключа дешифрования. Записка о выкупе сообщает жертвам, что их данные были украдены и зашифрованы. Он предостерегает от удаления или изменения любых файлов, поскольку это может привести к проблемам с восстановлением. В записке также содержится ссылка на веб-сайт TOR, где предположительно должен быть произведен выкуп.

Программа-вымогатель Ldhy — это тип вредоносного программного обеспечения, подпадающий под категорию программ-вымогателей. Он предназначен для проникновения в системы Windows, шифрования файлов и требования выкупа за ключ дешифрования. Целью этой статьи является предоставление информативного обзора программы-вымогателя Ldhy, методов ее заражения, используемого шифрования, генерируемой ею записки о выкупе и возможностей расшифровки. После проникновения программы-вымогателя Ldhy в систему она атакует и шифрует широкий спектр типов файлов, включая документы, изображения и базы данных, используя алгоритм шифрования Salsa20. Этот алгоритм известен своими сильными возможностями шифрования, что делает подбор ключей дешифрования практически невозможным. После шифрования файлов LDHY добавляет .ldhy расширение имен файлов, сигнализирующее о том, что файлы были скомпрометированы. Ldhy Ransomware создает записку о выкупе с именем _readme.txt, который обычно размещается на рабочем столе жертвы. В записке жертве сообщается, что ее файлы зашифрованы и что восстановление возможно только путем приобретения у злоумышленников инструмента расшифровки и уникального ключа. Требуемый выкуп может варьироваться от 499 до 999 долларов США и выплачивается в биткойнах со скидкой 50%, если жертва свяжется с злоумышленниками в течение 72 часов.

Secles Ransomware — это тип криптовируса, который шифрует файлы пользователей, делая их недоступными, и требует выкуп за ключ дешифрования. Основная цель этой статьи — предоставить информативный обзор программы-вымогателя Secles, включая методы ее заражения, расширения файлов, которые она использует, механизм шифрования, который она использует, записку о выкупе, которую она генерирует, наличие инструментов расшифровки и потенциальные методы расшифровки для затронутые файлы. Как только Secles Ransomware заражает компьютер, он сканирует файлы и шифрует их с помощью сложного алгоритма шифрования. К зашифрованным файлам добавляются уникальный идентификатор, имя пользователя Telegram злоумышленников и имя пользователя, а также .secles расширение. Точный алгоритм шифрования, используемый Secles Ransomware, не указан в предоставленных результатах поиска, но программы-вымогатели обычно используют надежные стандарты шифрования, такие как AES (расширенный стандарт шифрования), для предотвращения несанкционированного дешифрования. После шифрования Secles Ransomware генерирует записку о выкупе с именем ReadMe.txt, предлагая жертвам установить Telegram Messenger и связаться с киберпреступниками @seclesbot, чтобы восстановить свои данные. Записка о выкупе обычно размещается в каталогах, содержащих зашифрованные файлы, или на рабочем столе.

Cdcc Ransomware представляет собой вариант семейства программ-вымогателей STOP/DJVU, известный тем, что шифрует личные файлы на зараженных устройствах и добавляет .cdcc расширение имен файлов. Он нацелен на широкий спектр типов файлов, делая их недоступными до тех пор, пока не будет выплачен выкуп. Например, 1.jpg станет 1.jpg.cdcc. Программа-вымогатель использует надежный алгоритм шифрования Salsa20, требующий уникального ключа для расшифровки. После шифрования файлов Cdcc Ransomware создает записку о выкупе с именем _readme.txt и помещает его в каждую папку, содержащую зашифрованные файлы, а также на рабочий стол, гарантируя, что жертва узнает об атаке. Основная цель статьи — быть информативной, предоставляя подробную информацию о программе-вымогателе Cdcc, методах ее заражения, используемом ею шифровании, создаваемой ею записке о выкупе и возможностях расшифровки, включая использование таких инструментов, как расшифровщик Emsisoft STOP Djvu. .

Cdxx Ransomware представляет собой вариант пресловутого семейства программ-вымогателей STOP/DJVU. Это тип вредоносного ПО, которое шифрует личные файлы на зараженных устройствах, такие как фотографии, документы и базы данных, и добавляет .cdxx расширение к именам файлов, эффективно ограничивающее доступ к этим файлам до тех пор, пока не будет выплачен выкуп. Например, document.pdf будет переименован в document.pdf.cdxx. Программа-вымогатель использует надежные алгоритмы шифрования, что делает файлы недоступными без ключа дешифрования. Cdxx Ransomware создает записку о выкупе с именем _readme.txt в каждом каталоге, где файлы были зашифрованы. В этой записке содержатся инструкции злоумышленников о том, как заплатить выкуп и связаться с ними. Сумма выкупа обычно колеблется от 999 до 1999 долларов США и выплачивается в биткойнах. Программа-вымогатель Cdxx обычно распространяется через вредоносные загрузки, вложения электронной почты и фишинговые кампании. Злоумышленники используют тактику социальной инженерии, чтобы обманом заставить пользователей запустить программу-вымогатель в своих системах. После активации Cdxx Ransomware сканирует систему на наличие файлов для шифрования, избегая системных каталогов и определенных расширений файлов, таких как .ini, .bat, .dll, .lnk и .sys.

XRP Ransomware — это тип вредоносного программного обеспечения, принадлежащий к семейству программ-вымогателей GlobeImposter. Его основная функция — шифровать файлы на компьютере жертвы, делая их недоступными. Программа-вымогатель добавляет адрес электронной почты и .xrp расширение имен файлов, указывающее, что файлы были зашифрованы. При заражении компьютера программа-вымогатель XRP сканирует весь жесткий диск на наличие файлов и блокирует их. Например, меняется 1.jpg в 1.jpg.[a.wyper@bejants.com].xrp. Программы-вымогатели обычно используют симметричное или асимметричное шифрование. При симметричном шифровании используется один и тот же ключ как для шифрования, так и для дешифрования, тогда как при асимметричном шифровании используются два разных ключа — один для шифрования, а другой для дешифрования. Программа-вымогатель XRP создает записку о выкупе с именем Read_For_Restore_File.html в каждой папке, содержащей зашифрованные файлы. В записке о выкупе жертвам обычно сообщается, как заплатить выкуп за расшифровку их файлов.

SDfghjkl Ransomware — это тип вредоносного ПО, принадлежащий к семейству программ-вымогателей Paradise, обнаруженный исследователем по имени Раби. Он предназначен для шифрования данных на зараженных компьютерах, делая файлы недоступными для пользователей, а затем требует выкуп в биткойнах за ключ дешифрования. В процессе шифрования SDfghjkl Ransomware переименовывает все затронутые файлы, добавляя к именам файлов определенный шаблон: _{fiasco911@protonmail.com}SDfghjkl, Например, 1.jpg будет переименован в 1.jpg _{fiasco911@protonmail.com}SDfghjkl. Точный криптографический алгоритм, используемый SDfghjkl, не указан в предоставленных источниках, но программы-вымогатели обычно используют сильные симметричные или асимметричные алгоритмы шифрования. SDfghjkl Ransomware создает текстовый файл (Instructions with your files.txt) на рабочем столе и отображает всплывающее окно с подробным сообщением о выкупе. Сообщение сообщает жертвам, что их данные зашифрованы, и содержит инструкции о том, как связаться с злоумышленниками по указанному адресу электронной почты (fiasco911@protonmail.com), чтобы договориться о выплате выкупа.

SNet Ransomware — это серьезная киберугроза, впервые обнаруженная в октябре 2021 года. Она шифрует файлы пользователя, делая их недоступными до тех пор, пока не будет выплачен выкуп. Программа-вымогатель представляет серьезный риск как для отдельных лиц, так и для организаций, включая громкие случаи, в том числе крупную больницу и банковское учреждение. Как только программа-вымогатель SNet проникает в систему, она шифрует файлы и добавляет .SNet расширение к именам файлов. Например, файл с первоначальным названием «document.docx» будет переименован в «document.docx.SNet». Программа-вымогатель использует комбинацию алгоритмов шифрования AES-256 и RSA-1024 для шифрования файлов. Эта передовая тактика шифрования делает чрезвычайно трудной, если не невозможной, расшифровку файлов без специального ключа дешифрования. После процесса шифрования программа-вымогатель SNet оставляет записку о выкупе с именем DecryptNote.txt. Эта записка информирует жертву о шифровании и требует выкуп, обычно от 490 до 980 долларов в биткойнах, за ключ дешифрования.