Вирусы

Ranion является семейством вредоносных программ, которое разрабатывает и распространяет вирусы-вымогатели. Самая последняя версия носит название R44s, шифрует данные с помощью надежных криптографических алгоритмов, а затем требует деньги за выкуп. Жертвы могут заметить шифрование данных визуально. Первые версии Ranion Ransomware, обнаруженные в ноябре 2017 г. использовали .ransom расширение. Теперь вирус присваивает расширение .r44s расширение на все скомпрометированные части. Вот краткий пример того, как файлы будут выглядеть после успешного шифрования: 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44sи т. д. в зависимости от оригинального имени файла. Сразу после завершения этого процесса R44s создает HTML-файл под названием README_TO_DECRYPT_FILES.html.

Обнаруженный одним из исследователей вредоносного ПО по имени S!Ri, Artemis принадлежит к семейству программ-вымогателей PewPew. Эта мошенническая группировка распространяет множество вирусов, которые шифрует персональные данные. Artemis - одна из последних версий выпущенных крипто-блокировщиков, которая ограничивает доступ к большинству хранимых данных с помощью многоуровневых криптографических алгоритмов. Эти алгоритмы обеспечивают надежное шифрование данных, что не позволяет пользователям их открыть. Кроме того, зашифрованные файлы Artemis также изменяются и визуально. К примеру, файл 1.pdf изменится на что-то вроде 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis и сбросить исходный значок. Эта строка состоит из идентификатора жертвы, khalate@tutanota.com электронной почты и .artemis расширения в конце. Затем, как только шифрование подходит к концу, Artemis создает файл под названием info-decrypt.hta , который открывается на весь экран. Последние версии вредоносного ПО используют следующий шаблон ReadMe- [идентификатор_ жертвы] .txt для именования записки о выкупе и расширения .ultimate и .999 (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate и 1.pdf.id [идентификатор_ жертвы]. [restoreisscus@gmail.com] .999).

GoodMorning - это вредоносная программа, классифицируемая как вирус-вымогатель. Основная цель разработчиков - заработать деньги на жертвах, чьи данные зашифрованы надежными шифрами. Обычно жертвы узнают о заражении после того, как GoodMorning назначает файлам новое составное расширение (оканчивающееся на .GoodMorning, ЗАБЛОКИРОВАНО or .НАСТОЯЩИЙ). К примеру, 1.pdf и другие файлы, хранящиеся в системе, будут изменены в соответствии с этим шаблоном 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Идентификатор внутри расширений будет отличаться индивидуально, так как он уникален для каждой из жертв. Затем, когда все файлы зашифрованы и визуально изменены, вирус создает текстовые заметки, называемые либо GoodMorning.txt, ReadIt.txt or ReadMe.txt. Она содержит инструкции о том, как восстановить ваши данные.

Wiot Ransomware (также известный как STOP Ransomware or Djvu Ransomware) - чрезвычайно опасный вирус, который шифрует файлы с использованием алгоритма шифрования AES-256 и добавляет .wiot расширения затронутых файлов. Заражение в основном затрагивает важные и ценные файлы, такие как фотографии, документы, базы данных, электронную почту, видео и т. Д. Wiot Ransomware не затрагивает системные файлы, чтобы позволить Windows работать, поэтому пользователи смогут заплатить выкуп. Если сервер вредоносных программ недоступен (компьютер не подключен к Интернету, удаленный сервер хакеров не работает), то инструмент шифрования использует ключ и идентификатор, которые жестко запрограммированы в нем, и выполняет автономное шифрование. В этом случае можно будет расшифровать файлы без уплаты выкупа. Wiot Ransomware создает _readme.txt файл, содержащий сообщение о выкупе и контактные данные, на рабочем столе и в папках с зашифрованными файлами. С разработчиками можно связаться по электронной почте: manager@mailtemp.ch и managerhelper@airmail.cc.

Pagar это программа-вымогатель, которая заражает системы Windows для шифрования личных данных. Это влияет на конфигурацию сохраненных файлов, делая их полностью недоступными. Это означает, что любые попытки открыть файлы будут отклонены из-за шифрования. Помимо изменений конфигурации, Pagar Ransomware также изменяет данные с помощью визуальных средств - назначая .pagar40br @ gmail.com расширение для каждого зашифрованного файла. К примеру, такой файл, как 1.pdf изменятся на 1.pdf.pagar40br@gmail.com и сбросит свой исходный значок. После того, как доступ ко всем файлам будет ограничен, Pagar создаст записку с требованием о выкупе под названием Urgent Notice.txt, в котором объясняется, как восстановить данные. Разработчики программ-вымогателей говорят кратко и говорят, что у вас есть 72 часа, чтобы отправить 0.035 BTC на прикрепленный кошелек. Сразу после завершения платежа жертвы должны связаться с разработчиками через pagar40br@gmail.com, указав свой собственный адрес кошелька и уникальный идентификатор (указанный в примечании). К сожалению, нет никакой информации о том, можно ли доверять разработчикам Pagar.

Iwan Ransomware (также известный как STOP Ransomware or Djvu Ransomware) - широко распространенный вирус-вымогатель для шифрования файлов. Это один из самых опасных программ-вымогателей с высоким уровнем вредоносности и распространенности. Он использует алгоритм шифрования AES-256 в режиме CFB с нулевым IV и одним 32-байтовым ключом для всех файлов. Шифрование данных в начале каждого файла составляет не более 0x500000 байт (~ 5 МБ). Вирус добавляет .iwan расширения для закодированных файлов. Заражение затрагивает важные и ценные файлы. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы изображений, архивы, файлы приложений и т. Д. Djvu Ransomware не шифрует системные файлы, чтобы убедиться, что Windows работает правильно и пользователи могут просмотрите Интернет, посетите страницу оплаты и заплатите выкуп. Iwan Ransomware создает _readme.txt файл, который называется «запиской о выкупе» и содержит инструкции по оплате и контактные данные. Вирус помещает его на рабочий стол и в папки с зашифрованными файлами. Разработчики предлагают следующие контактные данные: manager@mailtemp.ch и managerhelper@airmail.cc.