Вирусы

Hidden Ransomware, вариант cемейства программ-вымогателей Voidcrypt, — это вредоносная программа, которая выполняет свои гнусные действия, шифруя данные и затем требуя выкуп в обмен на инструменты дешифрования. В рамках процесса шифрования все затронутые файлы переименовываются по определенному шаблону. Новые имена файлов включают исходное имя файла, адрес электронной почты киберпреступников, уникальный идентификатор, присвоенный жертве, и .hidden расширение. Например, файл с именем 1.pdf превратится во что-то вроде 1.pdf.[Wannadecryption@gmail.com][random-sequence].Hidden после шифрования. В дополнение к переименованию файла, программа-вымогатель отправляет сообщения о выкупе в !INFO.HTA файлы в скомпрометированных папках.

Werz Ransomware (также STOP Ransomware) — разрушительный вирус, принцип действия которого основан на надежном шифровании файлов и вымогательстве денег. Было выпущено более 700 версий этой вредоносной программы с несколькими крупными модификациями и множеством мелких изменений. Последние используют случайные 4-буквенные расширения, добавленные к затронутым файлам, чтобы указать, что они зашифрованы. Werz появился в самом конце мая 2023 года. С самого начала Werz Ransomware использовал алгоритм шифрования AES-256 (режим CFB). В зависимости от точного расширения существуют немного разные, но схожие методы удаления и расшифровки. Исследуемая сегодня вариация использует .werz расширения. Как и его предшественники, он создает записку о выкупе под названием _readme.txtНиже приведен пример такого текстового файла.

DarkRace Ransomware, обнаруженный исследователем безопасности S!Ri, представляет серьезную угрозу для компьютерных систем и безопасности конфиденциальных данных. В этой статье рассматривается работа DarkRace, ее влияние на файлы и последствия для жертв. Понимая природу этого штамма программ-вымогателей, пользователи могут лучше защитить себя от таких злонамеренных атак. DarkRace — это программа-вымогатель, которая шифрует файлы в зараженных системах, делая их недоступными для пользователей. Эта вредоносная программа добавляет отдельное расширение, .1352FF327 к именам файлов и оставляет примечание о выкупе в виде текстового файла с именем Readme.1352FF327.txt. После заражения жертвам сообщают, что их данные были украдены и зашифрованы, и им угрожают публикацией их конфиденциальной информации на веб-сайте TOR, если требования о выкупе не будут выполнены.

Weqp — это недавнее заражение программами-вымогателями, разработанное STOP/Djvu группа вредоносных программ и появилась в конце мая 2023 года. Разработчики, стоящие за ней, выпустили ряд очень похожих инфекций, чтобы шифровать данные пользователей и шантажировать их, заставляя платить деньги за восстановление. Вредоносное ПО в основном использует комбинацию симметричных и асимметричных алгоритмов шифрования для шифрования файлов жертв. Конкретные алгоритмы шифрования, используемые STOP/Djvu, со временем эволюционировали, поскольку вредоносное ПО претерпело несколько изменений и обновлений. Однако наиболее часто наблюдаемым алгоритмом шифрования, используемым STOP/Djvu, является алгоритм RSA для асимметричного шифрования. Weqp Ransomware практически не отличается от других ранее разработанных версий. Он шифрует все виды важных файлов и изменяет их внешний вид с помощью .weqp . К примеру, такой файл, как 1.pdf изменится на 1.pdf.weqp и сбросить его иконку под воздействием вируса. После этого текстовый файл с именем _readme.txt в конечном итоге создается, чтобы объяснить, как файлы могут быть расшифрованы.

Weon Ransomware одна из новейших версий, разработанных STOP (Djvu) семейством. Впервые он был обнаружен в конце мая 2023 года. Этот вымогатель нацелен на различные типы личных данных (например, изображения, видео, документы и т. д.) с использованием онлайн-ключей, случайно сгенерированных для каждой жертвы. Как только они применяются и данные становятся зашифрованными, пользователи больше не могут получать к ним доступ и взаимодействовать с ними. В процессе шифрования всем файлам присваивается .weon расширение. Это означает, что файлы изменят свое имя и сбросят свои значки. Например, файл типа 1.pdf изменится на 1.pdf.weon и потеряет свой первоначальный значок в конце шифрования. Затем, как и в других последних версиях семейства STOP (Djvu), Weon создает текстовую заметку под названием _readme.txt который содержит инструкции по расшифровке. Независимо от того, какой из них был сброшен на ваш компьютер, все они отображают одинаковую информацию.

Jigsaw Ransomware широко распространенное семейство программ-вымогателей. Программа-вымогатель предназначена для шифрования файлов на компьютере жертвы, делая их недоступными, а затем требует выкуп в обмен на ключ дешифрования, необходимый для восстановления файлов. Программа-вымогатель Jigsaw привлекла к себе внимание в апреле 2016 года, когда она была впервые обнаружена. Он был назван в честь культового персонажа из фильма «Пила» из-за использования изображения этого персонажа в качестве логотипа. Jigsaw Ransomware нацелен на системы на базе Windows и распространяется различными способами, такими как вредоносные вложения электронной почты, зараженные загрузки или наборы эксплойтов. Как только компьютер заражен Jigsaw Ransomware, он начинает шифровать файлы в системе, включая документы, изображения, видео и другие важные данные. Затем он отображает записку о выкупе на экране жертвы, требуя оплаты, обычно в биткойнах, в течение определенного периода времени. Если жертва не заплатит выкуп в течение заданного времени, Jigsaw Ransomware угрожает удалить часть зашифрованных файлов в качестве наказания. Он также отображает таймер обратного отсчета, добавляя психологический элемент срочности.

Alphaware Ransomware, вредоносная программа, использует сложную комбинацию алгоритмов для шифрования ценных данных своих жертв. После успешного шифрования файлов эта программа-вымогатель раскрывает свое первоначальное имя Alphaware в примечании, а сам связанный файл помечен как Alphaware.exe. Виновные в этой коварной угрозе называют себя группой хакеров «Альфа». Их метод работы включает требование выкупа в размере 300 долларов США в BTC (биткойнах) в обмен на ключ дешифрования, который необходим для восстановления скомпрометированных файлов до их исходного состояния. Программа-вымогатель Alphaware, впервые появившаяся примерно в середине мая 2023 года, в первую очередь нацелена на англоязычных пользователей, но может заражать системы по всему миру. Зараженные файлы претерпевают изменения в их соглашениях об именах или кодировке, что сопровождается добавлением .Alphaware расширение. Требование о выкупе доставляется через файл с именем readme.txt.

Новое поколение STOP Ransomware (Djvu Ransomware) начало добавлять .vatq расширения зашифрованных файлов с конца мая 2023 года. Напоминаем, что Vatq Ransomware относится к семейству криптовирусов, вымогающих деньги в обмен на расшифровку данных. Последние примеры программ-вымогателей STOP иногда относят к категории программ-вымогателей Djvu, поскольку они используют почти идентичные шаблоны заметок о выкупе с начала 2019 года, когда .djvu расширения добавлялись. Vatq Ransomware использует те же адреса электронной почты, что и в последних десятках версий: support@freshmail.top и datarestorehelp@airmail.cc. Полная расшифровка возможна только в 1-2% случаев, когда использовался автономный ключ шифрования (с помощью STOP Djvu Decryptor). В остальных случаях воспользуйтесь инструкциями и инструментами, предложенными в этой статье. Программа-вымогатель Vatq создает _readme.txt файл с запиской о выкупе, который выглядит почти так же.