Вирусы

Будучи частью STOP/Djvu семейства, Neon это вирус-вымогатель, который блокирует личные данные. Эта версия была выпущена в первых числах июня 2023 года. Шифрование осуществляется с использованием алгоритмов военного уровня, которые генерируют онлайн-ключи на специальных серверах. Это гарантирует, что никакие сторонние инструменты не смогут получить доступ к ключам для расшифровки файлов. Как и другие инфекции этого типа, Neon меняет имена каждого зараженного файла. Это делается путем добавления нового расширения (.neon) к каждому зашифрованному файлу. Например, такой файл, как 1.pdf изменит свое название на 1.pdf.neon после шифрования. После завершения этой стадии вируса Neon Ransomware создает текстовую заметку под названием _readme.txt , содержащая инструкции по расшифровке. Ряд других версий программ-вымогателей, которые были разработаны Djvu, использовали тот же контент для инструкций в записке.

CrossLock представляет собой опасную вредоносную программу, относящуюся к категории программ-вымогателей. Активность этого крипто-вымогателя началась в середине апреля 2023 года. Согласно выкупу, он не нацелен на англоязычных пользователей, но может распространяться по всему миру. Этот вымогатель шифрует пользовательские данные, используя комбинацию алгоритмов Curve25519 и ChaCha20, а затем требует выкуп в биткойнах, чтобы вернуть файлы. В примечании указано оригинальное название: CrossLock. Обнаруженный исполняемый файл — notepad.exe (может быть другое произвольное имя). Вредоносное ПО было написано на языке Go. Расширение добавляется к зашифрованным файлам: .crlk. CrossLock Ransomware создает записку о выкупе, которая называется ---CrossLock_readme_To_Decrypt---.txt в папках с зашифрованными файлами и на рабочем столе. Ниже приводится содержание этой заметки.

Neqp — это вирус-вымогатель, принадлежащий к семейству Djvu/STOP Ransomware, появившемуся в июне 2023 года. Это семейство выпустило ряд файловых шифраторов, предназначенных для различных пользователей по всему миру. Как только программа-вымогатель проникает в систему, вирус начинает поиск потенциально ценных форматов файлов и запускает шифрование данных. После криптографического шифрования пользователи больше не смогут получать доступ к своим данным и использовать их, как раньше. Вы можете сразу заметить изменение, взглянув на измененные имена файлов. Эта конкретная программа-вымогатель назначает .neqp расширение, меняя файл типа 1.pdf изменяя на 1.pdf.neqp и сбрасывает его первоначальный значок. Обычно Neqp Ransomware и другие современные версии Djvu/STOP генерируют «онлайн» ключи, а это означает, что полная расшифровка данных, скорее всего, невозможна без помощи киберпреступников. Однако иногда из этого есть исключения, о которых можно узнать далее.

Как и многие предыдущие версии этого вируса, Nerz Ransomware это вредоносная программа, недавно разработанная популярным семейством программ-вымогателей STOP (Djvu) семейство программ-вымогателей, которое выполняет шифрование данных. Попадая на ваш компьютер, вирус покрывает все личные данные надежными алгоритмами шифрования, чтобы вы больше не могли получить к ним доступ. К сожалению, предотвратить блокировку ваших данных программами-вымогателями невозможно, если на вашем компьютере не установлено специальное антивирусное программное обеспечение. В случае его отсутствия файлы, хранящиеся на ваших дисках, будут ограничены и недоступны. После завершения процесса шифрования вы увидите, что все файлы изменятся на 1.pdf.nerz и аналогично с другими именами файлов. Эта версия программы-вымогателя STOP использует .nerz расширение для выделения зашифрованных данных. Затем, как только программа-вымогатель проникнет в вашу систему и поместит все конфиденциальные данные под замок, она продолжит создание записки с требованием выкупа (_readme.txt).

Hidden Ransomware, вариант cемейства программ-вымогателей Voidcrypt, — это вредоносная программа, которая выполняет свои гнусные действия, шифруя данные и затем требуя выкуп в обмен на инструменты дешифрования. В рамках процесса шифрования все затронутые файлы переименовываются по определенному шаблону. Новые имена файлов включают исходное имя файла, адрес электронной почты киберпреступников, уникальный идентификатор, присвоенный жертве, и .hidden расширение. Например, файл с именем 1.pdf превратится во что-то вроде 1.pdf.[Wannadecryption@gmail.com][random-sequence].Hidden после шифрования. В дополнение к переименованию файла, программа-вымогатель отправляет сообщения о выкупе в !INFO.HTA файлы в скомпрометированных папках.

Werz Ransomware (также STOP Ransomware) — разрушительный вирус, принцип действия которого основан на надежном шифровании файлов и вымогательстве денег. Было выпущено более 700 версий этой вредоносной программы с несколькими крупными модификациями и множеством мелких изменений. Последние используют случайные 4-буквенные расширения, добавленные к затронутым файлам, чтобы указать, что они зашифрованы. Werz появился в самом конце мая 2023 года. С самого начала Werz Ransomware использовал алгоритм шифрования AES-256 (режим CFB). В зависимости от точного расширения существуют немного разные, но схожие методы удаления и расшифровки. Исследуемая сегодня вариация использует .werz расширения. Как и его предшественники, он создает записку о выкупе под названием _readme.txtНиже приведен пример такого текстового файла.

DarkRace Ransomware, обнаруженный исследователем безопасности S!Ri, представляет серьезную угрозу для компьютерных систем и безопасности конфиденциальных данных. В этой статье рассматривается работа DarkRace, ее влияние на файлы и последствия для жертв. Понимая природу этого штамма программ-вымогателей, пользователи могут лучше защитить себя от таких злонамеренных атак. DarkRace — это программа-вымогатель, которая шифрует файлы в зараженных системах, делая их недоступными для пользователей. Эта вредоносная программа добавляет отдельное расширение, .1352FF327 к именам файлов и оставляет примечание о выкупе в виде текстового файла с именем Readme.1352FF327.txt. После заражения жертвам сообщают, что их данные были украдены и зашифрованы, и им угрожают публикацией их конфиденциальной информации на веб-сайте TOR, если требования о выкупе не будут выполнены.

Weqp — это недавнее заражение программами-вымогателями, разработанное STOP/Djvu группа вредоносных программ и появилась в конце мая 2023 года. Разработчики, стоящие за ней, выпустили ряд очень похожих инфекций, чтобы шифровать данные пользователей и шантажировать их, заставляя платить деньги за восстановление. Вредоносное ПО в основном использует комбинацию симметричных и асимметричных алгоритмов шифрования для шифрования файлов жертв. Конкретные алгоритмы шифрования, используемые STOP/Djvu, со временем эволюционировали, поскольку вредоносное ПО претерпело несколько изменений и обновлений. Однако наиболее часто наблюдаемым алгоритмом шифрования, используемым STOP/Djvu, является алгоритм RSA для асимметричного шифрования. Weqp Ransomware практически не отличается от других ранее разработанных версий. Он шифрует все виды важных файлов и изменяет их внешний вид с помощью .weqp . К примеру, такой файл, как 1.pdf изменится на 1.pdf.weqp и сбросить его иконку под воздействием вируса. После этого текстовый файл с именем _readme.txt в конечном итоге создается, чтобы объяснить, как файлы могут быть расшифрованы.