Ransomware

Еще в 2016, KeRanger стала самой первой программой-вымогателем, атаковавшей пользователей Mac. Большинство пользователей были ошеломлены, когда поняли, что их данные заблокированы, потому что они загрузили законный клиент BitTorrent под названием коробка передач. В то время киберпреступникам удалось взломать их сайт и внедрить вирус шифрования файлов в новую версию, которая должна была выйти. Поэтому пользователи случайно поймали атаку вредоносного ПО, обновив ранее установленное приложение. К сожалению, лаборатории не нашли подходящей меры для расшифровки нанесенных данных. Вместо этого жертвы предлагают платное решение, которое заключается в покупке программы дешифрования. Транзакция должна быть совершена через браузер Tor, заплатив 1 BTC (около 407 в то время), сейчас биткойн составляет примерно 5,260 долларов. Вымогатели также утверждают, что ответят на любой ваш вопрос, если вы действительно заинтересованы в уплате выкупа. Вы также можете расшифровать 1 файл через страницу Tor, указанную в заметке. Как уже упоминалось, сторонние инструменты в настоящее время не могут расшифровать заблокированные данные.

Хотя большинство разработчиков программ-вымогателей сосредотачиваются на заражении систем на базе Windows, Возрастлокер вместо этого нацелен на Mac и Linux. Программа-вымогатель позиционирует себя как бизнес-ориентированный вирус, который распространяется на корпоративные компании, однако случаются и атаки на обычных пользователей. Процесс шифрования очень похож на Windows, с той лишь разницей, что используются разные расширения и форматы файлов. AgeLocker применяет свою личную командную строку для запуска процесса шифрования. Файлам, на которые повлиял AgeLocker, назначаются персонализированные расширения на основе имен пользователей. Невозможно определить, какой файл был заражен, потому что AgeLocker зашифровывает исходное имя и добавляет случайное расширение в конце. Некоторые люди сообщили, что их файлы были добавлены с .sthd2 расширение, а имя зашифрованных файлов начинается с age-encryption.org URL-адрес. После успешной блокировки всех файлов вирус отправляет записку с требованием выкупа (Security_audit_.eml) на электронную почту жертвы.

Программа-вымогатель AESMewLocker представляет собой реальную угрозу, которая нацелена на ваши данные путем их шифрования с помощью алгоритмов формата файла AES. В этом нет ничего особенного для мира программ-вымогателей. Пару дней назад вирус появился на нескольких форумах и поднял вокруг своих жертв большой вопрос - как расшифровать файлы? На данный момент нет эффективных способов разблокировать файлы, зашифрованные с помощью .locked расширение после проникновения. Все ваши файлы становятся недоступными и могут быть разблокированы, только если вы соблюдаете требования мошенника и заплатите за ключ дешифрования. Сам ключ стоит недешево, вам придется потратить 0.05 BTC и связаться с вымогателями, чтобы получить инструкции по расшифровке. Вся эта информация указана в записке о выкупе (READ_IT.txt), созданный после успешного шифрования.

ИОКП это программа-вымогатель, которая шифрует личные данные и держит их заблокированными до тех пор, пока жертвы не заплатят так называемый выкуп. Он использует случайное 5-буквенное расширение для замены исходного внешнего вида файла. Как только он будет добавлен, ваш файл сбросит свой значок и изменит его на 1.mp4.UAKXC, например. Некоторые люди ошибаются, говоря, что IOCP является частью Конти-вымогатели. Это не так, потому что Conti использует алгоритмы AES, в то время как IOCP вместо этого применяет Salsa20 и ChaCha20. После блокировки ваших файлов вирус создает записку с требованием выкупа (R3ADM3.txt) с инструкциями по расшифровке ваших данных. Говорят, что вам следует написать электронное письмо на один из прикрепленных адресов. Временные рамки не установлены, однако киберпреступники заявляют, что, если вы не заплатите за программное обеспечение для дешифрования, ваши файлы будут опубликованы в Интернете. На данный момент, поскольку эта программа-вымогатель является относительно новой, эксперты не нашли надежного способа дешифровать файлы бесплатно.

Зораб вирус шифрования файлов, определяемый S! R1, исследователь вредоносных программ, открывший ряд других заражений. Последствия, создаваемые Зорабом, можно четко увидеть в требованиях к шифрованию данных и оплате за инструменты дешифрования. Все файлы, пораженные программой-вымогателем, будут перенастроены с помощью .zrb or .zorab2 расширение. Например, файл, не содержащий вирусов, например 1.mp4 будет изменен на 1.mp4.zrb or 1.mp4.zorab2 после проникновения. Такое изменение означает, что ваши файлы станут недоступны. Для их расшифровки вымогатели предлагают прочитать инструкции, приведенные в текстовой заметке (--DECRYPT - ZORAB.txt), который удаляется после завершения основного шифрования. В записке с требованием выкупа киберпреступники пытаются утешить сбитых с толку жертв и сообщить им, что их данные в безопасности и могут быть восстановлены. Единственное, что им нужно сделать, это купить программное обеспечение для дешифрования в BTC после установления контакта с киберпреступниками по электронной почте. Также есть уловка, призванная вызвать доверие у пользователей - бесплатно расшифровать 2 небольших файла. К сожалению, поскольку вы имеете дело с мошенническими средствами, нет реальной гарантии, что ваши файлы будут возвращены в результате. Вот почему большинство киберэкспертов рекомендуют людям экономить деньги и заранее создавать лишние резервные копии, чтобы восстановить заблокированные файлы после удаления вредоносного ПО.

Обнаруженный в 2020 г. КоронаЛок ограничивает доступ к данным пользователей, шифруя их с помощью алгоритмов ChaCha, AES и RSA. Файлы, скомпрометированные этой программой-вымогателем, изменят расширение на .пандемия, .корона-замок or .биглок, Например, если 1.mp4 будет изменен вирусом, он переместится в 1.mp4.корона-замок or 1.mp4.большой замок. После этого вымогатели отображают информацию о выкупе в заметке (!!! READ_ME !!!. TXT or README_LOCK.TXT), который падает на рабочий стол. Интересно, что люди, атакованные с расширением ".biglock", не имеют контактной информации в записке с требованием выкупа для связи с киберпреступниками. Похоже, разработчики забыли включить его перед выпуском. Между тем версии с расширением .corona-lock лишены этого недостатка и содержат электронную почту в текстовом файле. Если вы хотите пройти тестовую расшифровку, вы можете отправить им один файл.

Классифицируется как заражение программ-вымогателей, Django это не вирус, с которым можно шутить. Как только он попадает на ваш компьютер, он вызывает хаос вокруг личных данных за счет шифрования с помощью специальных алгоритмов, которые не позволяют сторонним инструментам иметь какие-либо аргументы в будущем. Во время шифрования данных ваши файлы изменяются с помощью .djang0unchain3d расширение. Это означает, что файл вроде 1.mp4 изменится на 1.mp4.djang0unchain3d и сбросить исходный значок. Похоже, разработчики вдохновили голливудский фильм под названием «Джанго освобожденный» и решили позаимствовать его название. Как только шифрование подходит к концу, жертвам предоставляются инструкции по выкупу в Readme.txt которые объясняют, как расшифровать ваши данные. Киберпреступники утверждают, что для получения ваших файлов вам следует связаться с ними по прикрепленному адресу электронной почты и указать свой идентификатор. Если вы не получите ответа в течение 24 часов, вам следует написать на другой адрес электронной почты, указанный в примечании. После этого вымогатели попросят вас приобрести ключ дешифрования через кошелек BTC, который в конечном итоге поможет вам восстановить доступ к заблокированным данным.

Обнаружено недавно, Дхарма-2020 это программа-вымогатель, которая использует надежные криптографические алгоритмы для блокировки данных и требует уплаты выкупа. После того, как вирус атакует ваш компьютер, он мгновенно шифрует сохраненные файлы, заменяя их адресом электронной почты преступника и другими символами. Например, 1.mp4 будет переименован во что-то вроде 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. После успешного шифрования программа показывает окно сообщения и создает записку о выкупе под названием FILES ENCRYPTED.txt. Вредоносная программа блокирует любые попытки расшифровать ваши файлы и использовать определенные программы безопасности. Затем Dharma-2020 Ransomware выполняет чистую классику, предлагая пользователям заплатить выкуп в BTC (от 50 до 500 долларов США) и отправить чек на свою электронную почту, после чего они предоставят вам программу дешифрования.