Руководства

Cuba Ransomware - вредоносная программа, использующая набор криптографических алгоритмов для шифрования личных данных. Вирус был замечен в разных версиях и с разными стилями шифрования. Они могут отличаться инструкциями по выкупу, но обычно все они добавляют одно и тоже .cuba расширение и FIDEL.CA имя в заголовке. Например, такой зараженный файл как 1.mp4 изменится и будет выглядеть вот так 1.mp4.cuba или похоже. Затем, когда шифрование будет закончено, Cuba создаст текстовый файл, в котором говорится, как расшифровать ваши данные. Многие жертвы получили различные образцы инструкций. (!!! ALL YOUR FILES ARE ENCRYPTED !!!. TXT). В большинстве случаев все они просят жертв связаться с прикрепленным электронным письмом со своим личным идентификационным номером. После этого люди получат необходимые шаги для запуска платежа и получения инструментов дешифрования, обещанных разработчиками. К сожалению, статистика успешных расшифровок оставляет желать лучшего. Это связано с тем, что к файлам применены мощные шифры, что затрудняет их расшифровку.

Cring классифицируется как вирус-вымогатель, который шифрует личные данные различного типа (изображения, видео, документы и т. д.). Чтобы обеспечить успешное шифрование, Cring применяет специальные криптографические алгоритмы, которые обеспечивают надежную защиту шифрования. Все это сопровождается присвоением расширения ".cring", которое добавляется в конец каждого файла. Например, оригинальное произведение вроде 1.mp4 будет изменен на 1.mp4.cring и сбросит свою изначальную иконку. Пока идет этот процесс, вирус понемногу готовится к созданию текстового файла (!!!! deReadMe !!!. txt) с инструкциями по выкупу. Внутри документа вымогатели прямо заявляют, что ваши файлы невозможно разблокировать самостоятельно. Единственное решение - связаться с разработчиками и заплатить комиссию в размере 2 биткойнов. К сожалению, поскольку эта инфекция появилась совсем недавно в мире программ-вымогателей, кибер-эксперты пока не нашли способа бесплатно ее расшифровать.

Будучи частью Djvu и STOP семейства вирусов Ygkz Ransomware - это вирус для шифрования файлов, который бродит по сети с февраля 2021 года. На самом деле разработчики распространяют множество версий, которые отличаются друг от друга расширениями, электронной почтой киберпреступников и другими деталями. Существует более 300 расширений, которые STOP Ransomware использовал для атаки на данные пользователя. В нашем случае STOP Ransomware добавляет .ygkz расширение файлов, чтобы они стали зашифрованными. Например, что-то вроде 1.mp4 будет переименован в 1.mp4.ygkz и сбросить его значок по умолчанию после заражения. Последовательно программа создает заметку под названием _readme.txt который содержит информацию о выкупе. Обычно сгенерированный контент для всех типов программ-вымогателей очень похож. Он отличается только незначительными деталями, уведомляющими пользователей о том, что их система заражена, и о том, что данные были зашифрованы с помощью высокопроизводительных алгоритмов, таких как AES-256, RSA или других. После этого мошенники утверждают, что на покупку ключа дешифрования, который будет иметь доступ к вашим данным, нужно потратить около 980 долларов.

Новая программа-вымогатель, известная как DEcovid19 попала в сеть, совершив множество атак на незащищенные компьютеры. О вирусе сообщили 11 января отчаявшиеся жертвы с зашифрованными данными. Исходя из текущей информации, очевидно, что DEcovid19 блокирует доступ к данным, изменяя расширения файлов на .covid19 or .locked. Оригинальный файл 1.mp4 подвергшийся воздействию программы-вымогателя изменится на: 1.mp4.locked or 1.mp4.covid19. После завершения процесса шифрования вредоносная программа создает текстовую заметку (! DECRYPT_FILES.txt or ATTENTION!!!.txt) предназначен для объяснения инструкций по расшифровке. Внутри пользователи могут быстро просмотреть информацию о вирусах. Следующая часть текста посвящена восстановлению ваших данных. Сообщается, что пользователи связываются с ботом Telegram, прикрепляя личный идентификатор в строке темы и записывая, сколько компьютеров нужно расшифровать. Также необходимо отправить 1-2 зашифрованных файла, не содержащих важной информации (менее 2 МБ), чтобы злоумышленники могли подобрать правильный декодер для ваших данных. Последнее, но не менее важное, о чем говорят мошенники, - это временные рамки - у вас есть 72 часа на то, чтобы принять решение и оплатить ключ дешифрования.

Разрушительный вирус, известный как STOP Ransomware, в частности, его последняя вариация Cosd Ransomware не ослабляет и продолжает свою злонамеренную деятельность даже во время пика реальной пандемии коронавируса человека. Хакеры выпускают новые вариации каждые 3-4 дня, и предотвратить заражение и вылечиться от него по-прежнему сложно. В последних версиях были изменены расширения, которые добавляются в конец затронутых файлов, теперь это: .cosd. Хотя есть инструменты дешифрования от Emsisoft, доступные для предыдущих версий, самые новые из них обычно не дешифруются. Процессы проникновения, заражения и шифрования остаются прежними: кампании по рассылке спама, вредоносные загрузки, одноранговые загрузки, невнимательность пользователя и отсутствие достойной защиты приводят к серьезной потере данных после шифрования с использованием надежных алгоритмов AES-256. После завершения своей разрушительной деятельности Cosd Ransomware оставляет текстовый файл - записку о выкупе, которая называется _readme.txt, из которого мы можем узнать, что расшифровка стоит от 490 до 980 долларов и невозможна без определенного ключа расшифровки.

Plam Ransomware (версия STOP Ransomware or DjVu Ransomware) - широко распространенный шифровальный вирус с высокой степенью риска, впервые появившийся около 4 лет назад. За это время он претерпел несколько визуальных и технических изменений. В этом руководстве мы проанализируем последние версии этого опасного вредоносного ПО. В феврале 2021 года STOP Ransomware начал добавлять следующие расширения к зашифрованным файлам: .plam. Именно из-за этого он получил название «Plam Ransomware», хотя это всего лишь одна из разновидностей криптовируса STOP. Вирус также изменяет файл hosts, чтобы блокировать обновления Windows, антивирусные программы и сайты, связанные с новостями безопасности или предлагающие решения безопасности. Процесс заражения также выглядит как установка обновлений Windows, зловред показывает фальшивое окно, имитирующее процесс обновления. Новый подтип STOP Ransomware использует те же адреса электронной почты, что и несколько предыдущих поколений: helpmanager@mail.ch и restoremanager@airmail.cc. Plam Ransomware создает _readme.txt файл с запиской о выкупе.