Ransomware

Программа-вымогатель RYUK представляет собой вредоносную программу-вымогатель, основанную на коде вирусов Hermes 2.1 и BitPaymer. Исследователи считают, что за разработку и внедрение вируса отвечает известная Lazarus Group. Последние версии этого вируса добавляют .RYK or .rcrypted расширение для зашифрованных файлов. Хакеры требуют за расшифровку 15-50 BTC, что немало. RYUK Ransomware не обходит UAC, требует разрешения на запуск, что означает, что пользователю предоставлен доступ к компьютеру для исполняемого файла вируса. Программа-вымогатель шифрует все файлы, кроме файлов в следующих папках: «Windows», «Mozilla», «Chrome», «RecycleBin», «Ahnlab». Перед началом деструктивной активности вредоносное ПО останавливает более 180 служб и 40 процессов, используя Taskkill и остановка сети команды. Остановленные службы и процессы в основном относятся к антивирусному программному обеспечению, запущенным базам данных, программному обеспечению для резервного копирования и редактирования документов, которые могут предотвратить шифрование файлов.

Это четвертая итерация пресловутого STOP Ransomware, который был запущен в ноябре 2018 года. Теперь он добавляет .ДАННЫЕ ОЖИДАНИЕ, .INFOWAIT or .тень расширения для зашифрованных файлов. Вирус использует новое имя для записки о выкупе: ! readme.txt. Он выдает себя за обновление Windows и использует ресурс TeamViewer. Программа-вымогатель по-прежнему использует алгоритм шифрования RSA-1024. Текущая версия STOP Ransomware была разработана в Visual Studio 2017. Этот вариант STOP Ransomware требует выкупа в размере 290 долларов за расшифровку. Злоумышленники предлагают скидку 50% при оплате в течение 72 часов. На данный момент для STOP Ransomware нет инструментов дешифрования.

Пума-вымогатель, который начал появляться на тысячах компьютеров в ноябре 2018 года, на самом деле является не чем иным, как другим вариантом STOP Ransomware. Текущая версия добавляет .пума, .pumax or .пумы расширения к зашифрованным файлам, поэтому у него такой ник. Вирус использует то же имя для файла с запиской о выкупе: ! readme.txt. Разработчики пытались запутать сервисы идентификации программ-вымогателей и пользователей, добавляя новые расширения, но использование тех же шаблонов, кода и других признаков однозначно указывает на принадлежность к определенному семейству. Как видно из названия исполняемого файла: updatewin.exe, он выдает себя за обновление Windows. Puma (STOP) Ransomware по-прежнему использует алгоритм шифрования RSA-1024. Текущая версия Puma Ransomware была разработана в Visual Studio 2017.

Программа-вымогатель Everbe 2.0 - второе поколение широко распространенной программы-вымогателя Everbe. Это вирус шифрования файлов, который шифрует пользовательские файлы, используя комбинацию алгоритмов шифрования AES (или DES) и RSA-2048, а затем вымогает определенную сумму в биткойнах для дешифрования. Первоначальный вирус впервые появился в марте 2018 года и с того времени был очень активен. Исследователи безопасности считают, что программа-вымогатель Everbe 2.0 начала свое распространение 4 июля 2018 года. Авторы программы-вымогателя Everbe 2.0 требуют от 300 до 1500 долларов США в биткойнах (биткойнах) за расшифровку, но предлагают расшифровать любые 3 файла бесплатно. Стоит отметить, что Everbe 2.0 Ransomware работает только в 64-битных версиях ОС Windows. В настоящее время для Everbe 2.0 Ransomware нет инструментов дешифрования, однако мы рекомендуем вам попробовать воспользоваться приведенными ниже инструкциями и инструментами.

Программа-вымогатель GandCrab V4 четвертое поколение печально известного вымогателя GandCrab. Вирус использует сложную комбинацию алгоритмов шифрования AES-256 (CBC-режим), RSA-2048 и Salsa20. Эта конкретная версия добавляет .КРАБ расширение для зашифрованных файлов и создает немного другую записку с требованием выкупа, называемую КРАБ-РАСШИФРОВАТЬ.txt. GandCrab V4 Ransomware требует выкуп в биткойнах. Обычно она варьируется от 200 до 1000 долларов. Вредоносное ПО шифрует все типы файлов, кроме файлов из белого списка и некоторых необходимых для работы Windows. Все фотографии, документы, видео, базы данных после проверки расшифровываются. Вирус использует WMIC.exe shadowcopy удалить команда для удаления теневых копий и уменьшения шансов на восстановление. К сожалению, на данный момент мы пишем эту статью, текущие инструменты дешифрования не могут расшифровать GandCrab V4 Ransomware, но мы по-прежнему будем предоставлять ссылки на эти утилиты, так как они могут быть обновлены в любой день.

Программа-вымогатель это опасный вирус типа вымогателя, который шифрует пользовательские файлы с помощью алгоритма шифрования AES-128 и требует выкупа в размере 500 долларов США в биткойнах за расшифровку. Все файлы, зашифрованные этой вредоносной программой, получают .qweuirtksd расширение. В большинстве случаев Qweuirtksd Ransomware запускается после ручного (или полуавтоматического) взлома компьютера. Атаки идут с IP-адресов в России, и согласно информации на форуме BleepingComputer злоумышленниками являются россияне. Хакеры предлагают договориться о снижении суммы выкупа для частных пользователей. Мы не рекомендуем платить выкуп и пытаться восстановить зашифрованные файлы с помощью инструкций на этой странице.

АУДИТ это еще одна версия печально известного вируса-вымогателя из Crysis-Дхарма-Цезарь семья. Теперь он добавляет .АУДИТ расширение для зашифрованных файлов (не путать с файлами отчетов Nessus Pro). Этот вариант программы-вымогателя в настоящее время не имеет дешифратора, однако мы рекомендуем вам попробовать инструкции ниже, чтобы восстановить затронутые файлы. Dharma-AUDIT Ransomware добавляет суффикс, который состоит из нескольких частей, таких как: уникальный идентификатор пользователя, адрес электронной почты разработчика и, наконец, .АУДИТ суффикс, от которого он получил свое название. Схема изменения имени файла выглядит так: файл с именем xnumx.doc будут преобразованы в 1.doc.id- {8-значный-идентификатор}. [{Адрес-электронной почты}]. АУДИТ. По нашим данным, хакеры требуют от жертв выкуп в размере 10000 долларов США. Плохая новость заключается в том, что использование криптовалюты и платежных сайтов, размещенных на базе TOR, делает практически невозможным отслеживание получателя платежа. Кроме того, жертвы таких вирусов часто становятся жертвами мошенничества, и злоумышленники не отправляют ключи даже после уплаты выкупа. К сожалению, ручное или автоматическое дешифрование невозможно, если программа-вымогатель не была разработана с ошибками или не имеет определенных ошибок выполнения, недостатков или уязвимостей. Не рекомендуем платить злоумышленникам деньги. Однако хорошие новости заключаются в том, что часто по прошествии некоторого периода времени специалисты по безопасности из антивирусных компаний или отдельные исследователи декодируют алгоритмы и выпускают ключи дешифрования, или полиция находит серверы и раскрывает главные ключи.

CryptConsole 3 Вымогатели является преемником CryptConsole и КриптКонсоль 2 вирусы-вымогатели. Этот крипто-вымогатель шифрует данные на серверах и ПК с помощью AES, а затем требует выкуп в размере 0.14 BTC (или иногда 50 долларов США) для возврата файлов. Вирус был создан на C # для Microsoft .NET Framework. Третье поколение CryptConsole начало распространяться в июне 2018 года. Большинство вариантов вымогают 50 долларов. Предлагают бесплатно расшифровать 1 файл, но тогда общая стоимость вырастет на 50 $. Обратите внимание, что CryptConsole 1 и CryptConsole 2 можно расшифровать с помощью инструмента, разработанного Майклом Гиллеспи (скачать ниже). Третья версия в настоящее время не поддается расшифровке. Вы можете восстановить файлы из резервных копий, но если у вас нет резервных копий, следуйте инструкциям ниже, чтобы восстановить файлы с помощью стандартных функций Windows или с помощью программного обеспечения для восстановления файлов.