Ransomware

Xorist-EnCiPhEd пролили свет на мир программ-вымогателей пару лет назад и до сих пор остаются нацелены на пользователей. Являясь частью семейства Xorist, он шифрует данные с помощью алгоритмов XOR или TEA и присваивает .EnCiPhEd расширение для всех файлов. Например, 1.mp4 перенесет изменение на 1.mp4.EnCiPhEd. Если вы попытаетесь открыть какой-либо из зараженных файлов, вы увидите всплывающее окно с ошибкой, в котором отображается информация о выкупе. В отличие от других программ-вымогателей, его разработчики просят жертв отправить SMS-сообщение на указанный номер. Кроме того, вирус сбрасывает текстовый файл с именем HOW TO DECRYPT FILES.txt которое идентично всплывающему окну. Если вы не введете код в течение 5 попыток, ваши файлы будут полностью удалены, как утверждают вымогатели. После этого вы, скорее всего, получите ссылку в браузере для оплаты программного обеспечения для дешифрования. Однако нет необходимости удовлетворять требования о выкупе, потому что Фабиан Восар из Emsisoft нашел способ расшифровать файлы, зашифрованные Xorist.

Locky представляет собой вирус-вымогатель, который шифрует ваши файлы с помощью алгоритмов RSA-2048 и AES-1024 и требует 0.5 BTC (биткойнов) (эквивалент 207 долларов США) для получения «Locky Decrypter», позволяющего пользователю расшифровать свои документы и изображения. Это очень опасный шантажирующий вирус, и в настоящее время существует всего несколько способов расшифровать ваши файлы. В этом руководстве мы собрали всю доступную информацию, которая может помочь вам удалить вирус-вымогатель Locky и восстановить зараженные файлы.

Программа-вымогатель RedRum - это вредоносная программа, которая шифрует ваши данные и требует выкупа. Как только проникновение достигнет успеха, все сохраненные данные, включая изображения, видео и текстовые файлы, будут зашифрованы с помощью .редрам or .гринч (другая версия семейства RedRum) расширение. Речь идет о том, если 1.mp4 подвергся атаке этого вируса, он превратится в 1.mp4.редрам or 1.mp4.гринч. Как только шифрование завершится, RedRum сбросит текстовый файл (decryption.txt) с информацией о выкупе. Согласно примечанию RedRum, за ключ дешифрования нужно заплатить. Для этого вы должны отправить им сообщение электронной почты и получить дальнейшие инструкции. К сожалению, программы-вымогатели действительно очень упрямы и не приносят никакого облегчения из-за сильных алгоритмов, которые делают процесс дешифрования практически невозможным. Однако вы обязательно должны удалить его со своего компьютера, чтобы защитить другие файлы и применить все необходимые меры, чтобы это не повторилось.

Если вы не можете открыть свои файлы, то, скорее всего, это потому, что Hakbit Ransomware атаковал ваш компьютер. Разработчики этой части используют алгоритмы AES для шифрования хранимых данных (например, изображений, видео, документов, текстовых файлов и т. Д.). Другими словами, все, что находится на ваших дисках, будет полностью заблокировано. Hakbit использует несколько расширений для изменения файлов: .зашифровано, .равак, .часть or .gesd. Примеры зашифрованных файлов выглядят так 1.mp4.зашифровано, 1.jpg.равак, 1.док.часть or 1.xls.gesd. После этого Hakbit сбрасывает текстовый файл с именем HELP_ME_RECOVER_MY_FILES.txt и обои.bmp, который в некоторых случаях заменяет обои рабочего стола. Оба они содержат информацию о том, как вернуть ваши файлы. Для этого пользователи должны заплатить 300 долларов США в биткойнах через прикрепленный адрес и позвонить создателям по электронной почте. К сожалению, покупка программного обеспечения для дешифрования - единственный способ расшифровать ваши данные, поскольку ни один из сторонних инструментов не может с этим справиться. Однако мы настоятельно не рекомендуем вам тратить на это деньги, поскольку нет гарантии, что ваши данные будут возвращены.

Также известный под названием мимикрия, Программа-вымогатель ShivaGood безусловно, не имеет никаких благих намерений, потому что он предназначен для шифрования данных пользователей и требует выплаты выкупа в биткойнах. Эта вредоносная программа использует специальные криптографические алгоритмы и назначает расширение ".good" нескольким файлам (PDF-файлы, документы, изображения, видео и т. Д.). Например, 1.mp4 будет переименован в 1.mp4.хорошо, и аналогично. Как только ShivaGood завершит процедуру шифрования, он создаст текстовый файл с именем HOW_TO_RECOVER_FILES.txt. Эта заметка содержит информацию о шифровании данных. Чтобы расшифровать его, вымогатели просят вас связаться с ними по электронной почте и прикрепить свой личный идентификатор, который также упоминается в примечании. После этого мошенники свяжутся с вами с инструкциями по оплате, чтобы получить ключ дешифрования. Дополнительно киберпреступники предлагают бесплатно разблокировать 3 файла (менее 10 МБ). Это уловка, чтобы доказать их честность, поскольку реальность может значительно отличаться. Они могут просто вымогать деньги и забыть о своих обещаниях.

Солдат-вымогатель - это вредоносная программа, которая шифрует данные пользователей и выкидывает деньги на расшифровку файлов. Впервые он был обнаружен исследователем безопасности Амиго-А. В процессе шифрования все файлы меняются с .xsmb расширение, которое прикрепляется в конце файла. Например, что-то вроде 1.mp4 изменит свое название на 1.mp4.xsmb и сбросьте его значок. Ведь вымогатель создает текстовый файл (контакт.txt) или изображение (contact.png) на рабочем столе жертвы. Как указано в этих файлах, пользователи должны отправить 0.1 BTC или 4 ETH через связанный адрес. Кроме того, вы можете отправить до 3 файлов на их электронную почту для бесплатного дешифрования. Также стоит упомянуть, что Soldier Ransomware, похоже, создается и управляется одним человеком, как следует из примечания. К сожалению, Soldier Ransomware невозможно расшифровать без участия киберпреступников.

Roger является еще одной версией семейства Dharma семья, которая шифрует данные с помощью небьющихся шифров и требует от жертв заплатить выкуп. Когда он проникает в вашу систему, все сохраненные данные будут переименованы с идентификатором жертвы, электронной почтой киберпреступника и .roger . К примеру, такой файл, как 1.mp4 изменится на 1.mp4.id-1E857D00.[helpdecoder@firemail.cc].ROGER". Обратите внимание, что идентификаторы и адреса электронной почты могут различаться индивидуально. После того, как вирус завершит шифрование файла, он создаст текстовый файл с именем FILES ENCRYPTED.txt на вашем рабочем столе. В этой заметке люди могут ознакомиться с шагами по разблокированию своих данных. Для этого вы должны щелкнуть прикрепленную ссылку в браузере Tor, и они свяжутся с вами через 12 часов, чтобы проинструктировать вас о покупке их программного обеспечения для дешифрования. Если нет, то вам следует написать им, используя резервную копию электронной почты. К сожалению, оплата программного обеспечения может стать ловушкой, которая поставит под угрозу ваши финансы.

Программа-вымогатель PwndLocker это вирус для шифрования файлов, созданный для нацеливания на бизнес-сети и местные органы власти. Однако обычные пользователи также могут стать жертвой киберпреступников. После проникновения PwndLocker повреждает настройки нескольких служб Windows и шифрует как внутренние, так и сетевые данные, изменяя расширения и создавая записку о выкупе. Количество назначенных расширений может варьироваться в зависимости от форматов файлов. Вирус использует .ПроЛок, .pwnd or .key расширения, однако, не имеет никакого смысла, какое из них изменило ваши файлы, потому что они реализуют ту же функцию. Например, в некоторых случаях оригинал 1.mp4 будет преобразован в 1.mp4.ПроЛок. В других сценариях затронутые данные могут иметь расширения «.pwnd» или «.key». Записка о выкупе (H0w_T0_Rec0very_Files.txt), который поэтому отбрасывается на рабочий стол, предполагает, что ваша сеть была взломана и зашифрована с помощью надежных алгоритмов.