Ransomware

Нозелесн-вымогатель это новый тип программ-вымогателей, которые используют шифрование AES-128 для кодирования пользовательских файлов. Он добавляет .нозелесн расширение файлов "в зашифрованном виде". Согласно исследователям ro, Nozelesn Ransomware сначала была нацелена на Польшу, но затем распространилась на другие европейские страны. После успешного шифрования вирус падает HOW_FIX_NOZELESN_FILES.htm файл с сообщением с требованием выкупа на рабочем столе и в папках с поврежденными файлами. Стоимость расшифровки составляет 0.10 биткойнов, что в настоящее время составляет ~ 650 долларов. Злоумышленники обещают отправить ключ дешифрования в течение 10 дней. Однако киберпреступникам нельзя доверять, поскольку, как показывает наш опыт, они часто не дают обещаний не подвергать риску свой алгоритм шифрования. На момент написания статьи расшифровщиков не выпущено, но мы держим руку на пульсе.

Программа-вымогатель JobCrypter - это шифровальщик-вымогатель, основанный на коде Hidden Tear. Вирус добавляет .locked or . Css расширение Sto зашифрованных файлов. Этот крипто-вымогатель шифрует пользовательские данные с помощью 3DES, а затем требует выкупа для возврата файлов. Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Однако примечательно, что многие зараженные компьютеры JobCrypter находились в Литве. Чтобы снять блокировку файлов, пострадавшая сторона должна заплатить выкуп в размере 300 евро с PaySafeCard.

Обновленная версия STOP Ransomware вымогатель добавляет .PAUSA, .CONTACTUS, .DATASTOP или .STOPDATA суффиксы к зашифрованным файлам. Вирус по-прежнему использует алгоритм шифрования RSA-1024. Все версии, кроме .СТОПДАННЫЕ, потребуйте выкуп в размере 600 долларов в BTC (криптовалюта BitCoin), последний предлагает расшифровку за 200 долларов. Еще злоумышленники предлагают бесплатно расшифровать от 1 до 3 файлов, чтобы доказать, что расшифровка возможна. Это может быть использовано для попытки декодирования в будущем. На данный момент, к сожалению, единственный способ восстановить ваши файлы - это резервные копии.

Программа-вымогатель Dharma-Arena принадлежит к семейству CrySis, предыдущие широко распространенные программы-вымогатели этого типа были Dharma, что мы описали в этом блоге. Программа-вымогатель Dharma-Arena была впервые обнаружена исследователями безопасности в августе 2017 года. С тех пор она получила множество обновлений. Различные версии Dharma-Arena Ransomware требуют разной суммы выкупа. Он варьируется от 0,20 до 0,73 биткойнов, что составляет около 5000 долларов. Эксперты по безопасности не рекомендуют платить разработчикам программ-вымогателей, поскольку это побуждает их создавать новые варианты и не гарантирует расшифровку ваших файлов. На самом деле, в большинстве случаев злоумышленники не отправляют ключи дешифрования. Последние версии Dharma-Arena Ransomware нельзя расшифровать, однако есть шанс восстановить файлы, затронутые более старыми версиями.

Бип-вымогатели является еще одним преемником семейства Dharma / Crysis Ransomware. В новом варианте добавлен сложный суффикс, который заканчивается на .бип расширение для всех затронутых файлов. Bip Ransomware шифрует почти все типы файлов, которые могут быть ценными для пользователей, такие как документы, изображения, видео, базы данных, архивы, файлы проектов и т. Д. В настоящее время неизвестно, какой тип алгоритма шифрования использует Bip Ransomware, но, вероятно, это это AES. Bip Ransomware обычно требует от 1000 до 2000 долларов в биткойнах за ключ дешифрования. Однако часто хакеры не присылают ключи и платить выкуп не рекомендуется. На сегодняшний день, 5 мая 2018 года, расшифровка невозможна, однако вы можете попытаться расшифровать свои файлы из резервных копий или попробовать программу для восстановления файлов.

Программа-вымогатель GandCrab V3 - это еще одно поколение вируса GandCrab с высоким уровнем риска, использующее алгоритмы шифрования AES-256 (CBC-режим) + RSA-2048. Эта версия также добавляет .КРАБ расширения для всех зашифрованных файлов. GandCrab V3 создает похожие КРАБ-ДЕКРИПТ.txt файл с измененной запиской о выкупе. В отличие от предыдущих версий, GandCrab V3 Ransomware использует carder.bit в качестве сервера и Psi-Plus Jabber для связи. Также видоизменяется фон рабочего стола с неприятной надписью. Программа-вымогатель перезагружает компьютер после завершения шифрования и создает в реестре ключ автозапуска, который запускается при запуске Windows и атакует вновь созданные файлы. Сумма выкупа составляет ~ 1000 долларов США и может быть выплачена в Dash или BitCoin. Вирус создает счетчик и крайний срок, после которого сумма выкупа может удвоиться.

Сказочное вымогательство это большая семья международных вирусов-вымогателей, занимающихся шифрованием файлов. Он имеет несколько версий и языков и атакует компьютеры по всему миру. Scarab Ransomware имеет типичную вредоносную активность: он шифрует пользовательские файлы с помощью шифрования AES и требует выкупа за расшифровку. Последние версии этой вредоносной программы добавляют .забвение, .xtbl, .decrypts @ airmail.cc or .амнезия расширения и изменить имена файлов, используя случайно сгенерированную буквенно-цифровую последовательность.

Велсо-вымогатели зловредный криптовирус, использующий алгоритм шифрования AES для кодирования пользовательских файлов. Программы-вымогатели в основном нацелены на англоязычные страны, но могут заразить компьютеры в любой стране. Затронутые файлы получают .velso или .david расширение и становится недоступным. После шифрования Velso Ransomware создает текстовый файл get_my_files.txt с инструкциями по уплате выкупа. Идентификатор ключа и жертвы генерируется CryptGenRandom () с использованием AES-256 OpenSSL в режиме ECB. В настоящее время практически невозможно расшифровать файлы, зашифрованные Velso, без мастер-ключа.