Вирусы

Программы-вымогатели остаются одной из самых серьезных угроз в сфере кибербезопасности. AttackFiles Ransomware становится важным игроком. В этой статье рассматриваются тонкости программы-вымогателя AttackFiles, в том числе ее методы заражения, используемые ею расширения файлов, методы шифрования, генерируемая записка о выкупе, наличие инструментов расшифровки и методы расшифровки затронутых файлов. При заражении программа-вымогатель AttackFiles шифрует файлы и добавляет .attackfiles расширение к их именам. Например, файл с именем document.pdf будет переименован в document.pdf.attackfiles следующее шифрование. Эта программа-вымогатель может использовать как симметричные, так и асимметричные криптографические алгоритмы для блокировки данных, что делает несанкционированную расшифровку чрезвычайно сложной задачей. Записка о выкупе, обычно называемая How_to_back_files.html, создается в каждой папке, содержащей зашифрованные файлы. В этой записке жертвы информируются о том, что их сеть взломана, и требуют выкуп за расшифровку файлов. Целью записки является принуждение жертв к оплате путем угрозы безвозвратной потери их данных.

Farao Ransomware стал серьезной угрозой в сфере кибербезопасности. Это вредоносное ПО предназначено для шифрования файлов на компьютере жертвы, делая их недоступными, а затем требует выкуп за ключ дешифрования. Понимание его действия, воздействия и мер по смягчению последствий имеет решающее значение как для отдельных лиц, так и для организаций. Программа-вымогатель Farao шифрует файлы в зараженной системе, добавляя к исходным именам файлов уникальное расширение, состоящее из четырех случайных символов. Например, файл с именем 1.png будет переименован в 1.png.qigb, указывая, что он был зашифрован. Этот шаблон переименования позволяет легко определить, какие файлы были скомпрометированы. После завершения процесса шифрования Farao Ransomware генерирует записку о выкупе под названием LEIA-ME.txt на устройстве жертвы. В записке, написанной преимущественно на португальском языке, жертвам сообщается, что их файлы зашифрованы, и требуется выкуп в размере 250 бразильских реалов (приблизительно 50 долларов США), подлежащий выплате в биткойнах в течение 48 часов. Несоблюдение требований грозит безвозвратной потерей зашифрованных данных.

Программы-вымогатели представляют собой один из самых коварных типов вредоносных программ, поражающих пользователей во всем мире. WaifuClub Ransomware это вариант, который вызывает беспокойство у многих. В этой статье рассматриваются особенности программы-вымогателя WaifuClub, изучаются методы ее заражения, используемые расширения файлов, используемое шифрование, генерируемая записка о выкупе, наличие инструментов расшифровки и возможности расшифровки. .svh or .wis файлов. После успешного заражения программа-вымогатель WaifuClub начинает процесс шифрования, который предназначен для блокировки доступа пользователей к их собственным файлам. Он добавляет к зашифрованным файлам определенные расширения, которые могут включать «.lock» или варианты, содержащие контактную информацию киберпреступников, например .[[random-id]].[[backup@waifu.club]].svh or .[[random-id]].[[MyFile@waifu.club]].wis как отмечено в результатах поиска. Программа-вымогатель использует сложные алгоритмы шифрования, и без ключа дешифрования жертвам практически невозможно восстановить доступ к своим файлам. Программа-вымогатель WaifuClub генерирует записку о выкупе, которая инструктирует жертв, как действовать. Эта заметка обычно называется FILES ENCRYPTED.txt и размещается на рабочем столе пользователя или в папках, содержащих зашифрованные файлы. В записке указаны контактные данные киберпреступников, часто несколько адресов электронной почты, и требуется оплата, обычно в биткойнах, в обмен на ключ дешифрования.

Программы-вымогатели стали одной из самых серьезных угроз в кибермире. Crocodile Smile Ransomware становится важным игроком. Эта вредоносная программа шифрует файлы на компьютере жертвы, требуя выкуп за ключ дешифрования. В этой статье рассматриваются тонкости программы-вымогателя Crocodile Smile, включая методы ее заражения, процесс шифрования, детали записки о выкупе и возможности расшифровки. При заражении Crocodile Smile начинает шифровать файлы на зараженной машине. Он добавляет .CrocodileSmile расширение имен зашифрованных файлов, делающее их недоступными для пользователя. Например, файл с первоначальным названием 1.jpg будет переименован в 1.jpg.CrocodileSmile после шифрования. Этот вирус-вымогатель использует комбинацию симметричных и асимметричных методов шифрования, что делает расшифровку без необходимых ключей практически невозможной. После шифрования файлов программа-вымогатель Crocodile Smile меняет обои рабочего стола и создает записку с требованием выкупа под названием READ_SOLUTION.txt. Эта заметка информирует жертву о том, что безопасность ее данных была скомпрометирована, и содержит инструкции по началу процесса расшифровки. Жертвам предлагается связаться с злоумышленниками через назначенный канал связи и договориться о выплате выкупа в размере 20.6 биткойнов (приблизительно 1.4 миллиона долларов США на момент написания статьи). После оплаты злоумышленники обещают предоставить ключ расшифровки, необходимый для расшифровки затронутых файлов.

L00KUPRU Ransomware — это тип вредоносного ПО, которое шифрует файлы на компьютере жертвы, делая их недоступными до тех пор, пока не будет выплачен выкуп. Этот вариант программы-вымогателя является частью более широкой тенденции киберугроз, которые используют шифрование для вымогательства денег у отдельных лиц и организаций. В этом анализе мы рассмотрим характеристики программы-вымогателя L00KUPRU, включая механизмы заражения, используемые расширения файлов, используемый метод шифрования, генерируемое требование выкупа и варианты, доступные для расшифровки. При заражении программа-вымогатель L00KUPRU добавляет .L00KUPRU расширение файлов, которые он шифрует. Это отличительное расширение служит маркером затронутых файлов и сигнализирует пользователю о том, что его данные были скомпрометированы. Конкретный алгоритм шифрования, используемый программой-вымогателем L00KUPRU, неизвестен, но, скорее всего, это надежный метод шифрования, который невозможно легко взломать без соответствующего ключа дешифрования. Программа-вымогатель L00KUPRU генерирует записку с требованием выкупа под названием HOW TO DECRYPT FILES.txt, который содержит инструкции для жертвы о том, как продолжить выплату выкупа. Эта заметка обычно размещается на рабочем столе пользователя или в каталогах, содержащих зашифрованные файлы, чтобы жертва могла ее увидеть. Кроме того, может появиться всплывающее окно с аналогичной информацией, предлагающее пользователю выполнить действие по восстановлению своих файлов.

Rincrypt Ransomware — это вредоносное программное обеспечение, предназначенное для шифрования файлов на компьютере жертвы, что делает их недоступными до тех пор, пока не будет уплачен выкуп. Этот тип кибератак подпадает под более широкую категорию программ-вымогателей, которые стали серьезной угрозой для отдельных лиц, предприятий и организаций по всему миру. Rincrypt специально нацелен на основные типы файлов, стремясь зашифровать их и потребовать плату за их расшифровку. После заражения Rincrypt начинает процедуру шифрования, нацеленную на документы, изображения и другие важные файлы данных. Он добавляет отличительный .rincrypt расширение для каждого зашифрованного файла, что делает их легко идентифицируемыми. Программа-вымогатель использует комбинацию симметричных и асимметричных алгоритмов шифрования, которые отличаются высокой степенью безопасности и сложностью. Этот метод двойного шифрования гарантирует эффективную блокировку файлов, а ключи дешифрования генерируются уникальным образом для каждой жертвы. После процесса шифрования Rincrypt Ransomware генерирует записку о выкупе с именем READ THIS.txt или отображает всплывающее окно с аналогичным сообщением. Эта заметка размещается на рабочем столе или в папках, содержащих зашифрованные файлы. Он инструктирует жертв, как приобрести биткойны, связаться с злоумышленником по предоставленным каналам связи и заплатить выкуп, чтобы получить ключ дешифрования. Однако важно отметить, что уплата выкупа не гарантирует восстановление зашифрованных файлов.

Вредоносное ПО Byakugan представляет собой сложную и многогранную угрозу пользовательским данным, характеризующуюся способностью уклоняться от обнаружения за счет сочетания законных и вредоносных компонентов. Этот штамм вредоносного ПО был тщательно разработан для кражи конфиденциальных пользовательских данных, оставаясь при этом вне поля зрения традиционных мер безопасности. Бьякуган отличается разнообразным арсеналом функций, предназначенных для использования различных аспектов цифровой жизни жертвы. Он может контролировать экран жертвы, делать снимки экрана, динамически регулировать интенсивность своих возможностей криптомайнинга, чтобы избежать обнаружения, регистрировать нажатия клавиш и пересылать данные обратно на управляющий сервер злоумышленника. Он также нацелен на популярные веб-браузеры для кражи файлов cookie, данных кредитных карт, сохраненных паролей и истории загрузок. Чтобы избежать обнаружения, Byakugan имитирует легитимность, маскируясь под безобидный инструмент управления памятью, и манипулирует инструментами безопасности, добавляя себя в список исключений Защитника Windows и настраивая правила брандмауэра. Он также обеспечивает отказоустойчивость, создавая запланированную задачу, которая запускает ее выполнение при каждом запуске системы.

JSOutProx представляет собой сложную вредоносную программу, классифицируемую как троян удаленного доступа (RAT). Он в основном создан с использованием JScript, который является реализацией Microsoft стандарта ECMAScript (широко известного как JavaScript). Это вредоносное ПО обеспечивает удаленный доступ и контроль над зараженными системами, позволяя злоумышленникам выполнять различные вредоносные действия. Обнаружение JSOutProx может оказаться сложной задачей из-за его методов запутывания и использования файлов, выглядящих как законные, для обмана пользователей. Однако несколько индикаторов компрометации (IoC) могут помочь выявить ее наличие. К ним относится механизм сохранения, при котором JSOutProx записывает себя в две папки и остается активным после перезагрузки, скрываясь в ключе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run. На этапе инициализации JSOutProx собирает важную системную информацию, такую ​​как имена систем, IP-адреса, свободное место на жестком диске, вошедший в систему пользователь и т. д., и обращается к серверу управления и контроля, чтобы присвоить зараженному хосту уникальный идентификатор. Вредоносная программа использует Windows Script Host (WSH) и инструментарий управления Windows (WMI) для создания процессов — распространенная тактика, используемая вредоносными артефактами. Также было замечено, что атака была нацелена на такое программное обеспечение, как Symantec VIP и почтовый клиент Outlook, что указывает на сосредоточенность на важных корпоративных целях.