Вирусы

StripedFly — это сложная кроссплатформенная вредоносная платформа, которая за пять лет заразила более миллиона систем Windows и Linux. Первоначально его ошибочно классифицировали как майнер криптовалюты Monero, но дальнейшее расследование выявило его истинную природу как вредоносное ПО с усовершенствованной постоянной угрозой (APT). StripedFly — это модульная платформа, которая может быть ориентирована как на системы Windows, так и на Linux. Он имеет встроенный сетевой туннель Tor для связи со своим сервером управления и контроля (C&C) и использует доверенные сервисы, такие как Bitbucket, GitLab и GitHub, для механизмов обновления и доставки. Вредоносная программа работает как монолитный двоичный исполняемый файл со сменными модулями, что придает ей эксплуатационную универсальность, часто связанную с операциями APT. Эти модули включают в себя хранилище конфигурации, обновление/удаление, обратный прокси-сервер, обработчик различных команд, сборщик учетных данных, повторяющиеся задачи, модуль разведки, SSH-инфектор, SMBv1-инфектор и модуль майнинга Monero. Присутствие криптомайнера Monero считается попыткой диверсии, при этом основными целями злоумышленников являются кража данных и эксплуатация системы, которой способствуют другие модули.

Jarjets — это тип программы-вымогателя, вредоносное программное обеспечение, предназначенное для блокировки доступа к компьютерной системе или файлам до тех пор, пока не будет выплачена определенная сумма денег. Он был обнаружен во время обычного расследования новых файлов, отправленных на сайт VirusTotal. Как только программа-вымогатель Jarjets заражает систему, она шифрует файлы и меняет их имена. Оригинальные названия добавляются с помощью .Jarjets расширение. Например, файл с именем 1.jpg будет выглядеть как 1.jpg.Jarjets, 2.png as 2.png.Jarjets, и так далее. Конкретный алгоритм шифрования, используемый Jarjets, явно не упоминается в результатах поиска, но программы-вымогатели обычно используют сложные методы шифрования, часто комбинацию симметричного и асимметричного шифрования. После завершения процесса шифрования программа-вымогатель Jarjets создает записку с требованием выкупа под названием Jarjets_ReadMe.txt. Этот текстовый файл информирует жертву о том, что ее файлы зашифрованы, и призывает ее связаться с киберпреступниками.

Программа-вымогатель BlackDream — разновидность вредоносного ПО, которое шифрует данные на компьютере жертвы и требует плату за их расшифровку. Он был обнаружен исследователями при расследовании новых вредоносных программ, отправленных на VirusTotal. Программа-вымогатель добавляет уникальный идентификатор, адрес электронной почты киберпреступников и .BlackDream расширение имен зашифрованных файлов. Например, файл с первоначальным названием 1.jpg будет выглядеть как 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. После завершения процесса шифрования появится записка о выкупе под названием ReadME-Decrypt.txt сбрасывается. Программа-вымогатель BlackDream использует неуказанный метод шифрования файлов. Записка заверяет жертву, что ее файлы не были повреждены, но зашифрованы. Он предупреждает, что обращение за помощью в восстановлении за пределами злоумышленников (т. е. с использованием сторонних инструментов или служб) может сделать данные нерасшифрованными. В примечании подразумевается, что для расшифровки потребуется заплатить выкуп в криптовалюте Bitcoin, хотя точная сумма не указана.

Lumar Stealer — это легкая вредоносная программа типа «стилер», написанная на языке программирования C. Он предназначен для кражи такой информации, как интернет-файлы cookie, сохраненные пароли и криптовалютные кошельки. Впервые о рекламе Lumar на хакерских форумах стало известно в июле 2023 года. Вредоносная программа проникает в системы и начинает собирать соответствующие данные об устройстве, такие как имя устройства, процессор, оперативная память и раскладка клавиатуры. В первую очередь он нацелен на информацию, хранящуюся в браузерах, извлекая файлы cookie Интернета и учетные данные для входа (имена пользователей, идентификаторы, адреса электронной почты, пароли, кодовые фразы и т. д.). Он также нацелен на сеансы Telegram Messenger и собирает информацию, связанную с криптовалютными кошельками. Lumar обладает возможностями захвата, что означает, что он может загружать файлы с рабочих столов жертв. Интересующие форматы включают DOC, TXT, XLS, RDP и JPG. Если вы подозреваете, что ваш компьютер заражен Lumar Stealer, настоятельно рекомендуется использовать надежное антивирусное программное обеспечение для регулярного сканирования системы и удаления обнаруженных угроз и проблем.

Zput — это тип программы-вымогателя, принадлежащий к семейству программ-вымогателей Djvu. Это вредоносная программа, предназначенная для шифрования файлов и требования выкупа за их расшифровку. Программа-вымогатель Zput нацелена на различные типы файлов, такие как видео, фотографии, документы и многое другое. Он изменяет структуру файла и добавляет .zput расширение каждого файла, что делает их недоступными и непригодными для использования без расшифровки. Например, файл с первоначальным названием 1.jpg отображается как 1.jpg.zput, 2.png, так как 2.png.zput, и так далее. Zput Ransomware использует алгоритмы шифрования Salsa20 для шифрования содержимого целевых файлов. Этот надежный метод шифрования делает весьма трудным, если не невозможным, подбор ключа дешифрования без сотрудничества с злоумышленниками. После шифрования файлов программа-вымогатель Zput оставляет записку с требованием выкупа под названием _readme.txt. Эта записка информирует жертву о том, что ее данные зашифрованы и что для восстановления заблокированных файлов необходимо выполнить требования злоумышленников – заплатить выкуп за получение ключа/программного обеспечения дешифрования.

Zpww Ransomware — это тип вредоносного ПО, принадлежащий семейству STOP/Djvu. Его основная цель — вымогать деньги у жертв, шифруя их файлы и требуя выкуп за их расшифровку. Выкуп обычно составляет от 490 до 980 долларов США и выплачивается в биткойнах. После успешного проникновения Zpww Ransomware сканирует каждую папку на наличие файлов, которые можно зашифровать. Затем он создает копию целевого файла, удаляет оригинал, шифрует копию и оставляет ее вместо удаленного оригинала. Зашифрованные файлы добавляются с определенным расширением. .zpww. Программа-вымогатель использует алгоритм шифрования Salsa20, который, хотя и не самый надежный метод, тем не менее предоставляет огромное количество возможных ключей расшифровки. После процесса шифрования Zpww Ransomware создает записку о выкупе с именем _readme.txt в папке, где находится зашифрованный файл.

Zpas — это программа-вымогатель, шифрующая файлы, принадлежащая к семейству программ-вымогателей STOP/DJVU. Он ограничивает доступ к таким данным, как документы, изображения и видео, путем шифрования файлов с помощью .zpas расширение. Затем программа-вымогатель пытается вымогать деньги у жертв, требуя «выкуп», обычно в виде криптовалюты Биткойн, в обмен на доступ к данным. Когда компьютер заражен программой-вымогателем Zpas, он сканирует систему на наличие изображений, видео и важных рабочих документов и файлов, таких как .doc, .docx, .xls, .pdf. При обнаружении этих файлов программа-вымогатель шифрует их и меняет расширение, делая их недоступными. Вымогатель Zpas использует надежный шифр Salsa20, который невозможно «взломать». После того как программа-вымогатель Zpas зашифровала файлы на компьютере, она отображает записку с требованием выкупа под названием _readme.txt на рабочем столе. В записке о выкупе содержатся инструкции о том, как связаться с авторами этой программы-вымогателя по адресам электронной почты support@fishmail.top и datarestorehelp@airmail.cc. Жертв этого вируса-вымогателя просят связаться с разработчиками вредоносного ПО. Требуемый выкуп варьируется от 490 до 980 долларов США (в биткойнах).

Halo Ransomware — это тип вредоносного ПО, предназначенный для шифрования данных и требования выкупа за расшифровку. Он добавляет .halo расширение к именам зашифрованных файлов. Например, файл с первоначальным названием 1.jpg будет выглядеть как 1.jpg.halo. После шифрования файлов Halo Ransomware создает сообщение с требованием выкупа под названием !_INFO.txt. В записке говорится, что файлы жертвы зашифрованы и их можно восстановить только заплатив выкуп. В примечании предостерегается от выключения системы, переименования файлов, попыток расшифровки вручную или использования сторонних инструментов восстановления, поскольку эти действия могут сделать данные нерасшифрованными. Конкретный алгоритм шифрования файлов, используемый Halo Ransomware, неизвестен. Однако программы-вымогатели обычно используют симметричные или асимметричные криптографические алгоритмы для шифрования файлов.