Вирусы

Foza Ransomware разрушительный вирус-шифровальщик из серии STOP Ransomware (Djvu Ransomware). Foza Ransomware — это вариант семейства STOP/Djvu Ransomware, который известен тем, что использует комбинацию двух алгоритмов шифрования: RSA и AES. RSA используется для шифрования симметричного ключа AES, который генерируется для каждого файла. Это означает, что у каждого файла есть свой уникальный ключ AES, который используется для шифрования и расшифровки содержимого файла. Пара ключей RSA генерируется программой-вымогателем на компьютере жертвы, а открытый ключ отправляется на сервер злоумышленника, который затем используется для шифрования симметричного ключа AES. Он получил свое название от .foza расширение, которое программа-вымогатель добавляет в конец зашифрованных файлов. С технической точки зрения вирус остался таким же, как и предыдущие версии. Единственное, что меняется за последние пару лет, так это контактные данные злоумышленников.

Kafan — новый вирус-вымогатель, заражающий пользователей Windows с целью шифрования личных данных и вымогательства денег за их расшифровку у жертв. После установки программа-вымогатель быстро просканирует сохраненные данные и запустит процесс шифрования с использованием надежных криптографических алгоритмов. Кроме того, вредоносное ПО также будет назначать свои собственные .kafan расширение для распознавания заблокированных файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.kafan и станет недоступным. Наконец, файловый шифратор генерирует примечание о выкупе под названием help_you.txt с инструкциями о том, как вернуть данные. Сообщение о выкупе требует, чтобы жертвы отправили сообщение электронной почты киберпреступникам (PYTHONHAVENONAME@163.COM) и заплатили за расшифровку. При отправке сообщения жертв также просят указать свой идентификатор в заголовке/теме сообщения. Говорят, что цена расшифровки зависит от того, насколько быстро жертвы устанавливают связь с злоумышленниками. Киберпреступники используют такие методы манипуляции, чтобы оказать дополнительное давление на жертв и потенциально заставить их согласиться заплатить выкуп.

Recov — это новый вариант программы-вымогателя из семейства VoidCrypt. После проникновения в систему он запускает шифрование данных (чтобы предотвратить доступ жертв к файлам) и предлагает жертвам заплатить за комплект программного обеспечения для дешифрования + ключ RSA для разблокировки файлов. Инструкции, как это сделать, представлены внутри Dectryption-guide.txt записки о выкупе. Еще одна вещь, которую делает этот вымогатель, — это приписывание визуальных изменений зашифрованным файлам — строки символов, состоящей из идентификатора жертвы, адреса электронной почты киберпреступников и .Recov расширение будет добавлено к именам файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov или аналогично. Киберпреступники требуют, чтобы жертвы установили с ними контакт по электронной почте (Recoverifiles@gmail.com или Recoverifiles@protonmail.com в случае отсутствия ответа). Пока не ясно, что нужно вымогателям, вполне вероятно, что они потребуют от своих жертв заплатить определенную плату за инструмент дешифрования и ключ RSA, которые доступны только разработчикам.

Kadavro Vector — программа-вымогатель, ориентированная на пользователей, говорящих на английском, русском и норвежском языках. Целью этого вируса является шифрование потенциально важных данных и вымогательство денег у жертв за их расшифровку. Делая файлы недоступными, вредоносное ПО также добавляет .vector_ расширение для целевых файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.vector_ и сбросьте его первоначальный значок. Вскоре после успешного шифрования Kadavro Vector принудительно открывает всплывающее окно с рекомендациями по расшифровке. Кроме того, меняются обои рабочего стола. В записке о выкупе жертвам предлагается не отключать Интернет и свой компьютер, поскольку в противном случае это может привести к повреждению зашифрованных данных. Чтобы вернуть данные, жертвы должны купить криптовалюту Monero (XMR) на сумму 250 долларов и отправить ее на криптоадрес киберпреступников. Кроме того, есть еще и таймер, показывающий, сколько времени пользователи должны заплатить за расшифровку. Говорят, что если жертвам не удастся сделать это в течение отведенного времени, все файлы будут удалены с использованием передовых алгоритмов, что сделает их безвозвратно невосстановимыми в будущем. Тем самым злоумышленники пытаются оказать дополнительное давление на жертв и тем самым заставить их выполнить требования по расшифровке.

Coty Ransomware является частью большого cемейства программ-вымогателей STOP/Djvu. Свое название она получила потому, что в исходные версии вредоносной программы к файлам добавлялось .stop (потом .djvu) и зашифровали их с помощью комбинации криптографии AES и RSA, чтобы сделать файлы недоступными на зараженном компьютере с Windows. Coty Ransomware согласно своему названию добавляет .coty расширение. Эта версия появилась в конце апреля 2023 года. Как только программа-вымогатель Coty/STOP завершает процедуру шифрования, вирус создает записку с требованием выкупа для _readme.txt файл. В сообщении мошенников говорится, что жертвы должны заплатить выкуп в течение 72 часов. Авторы СТОП-вируса требуют 490 долларов в течение первых трех дней и 980 долларов после этого периода. Для подтверждения хакеры разрешают отправить 1-3 «не очень больших» файла для бесплатной расшифровки на support@freshmail.top or datarestorehelp@airmail.cc для теста.

Купер — вирус-вымогатель, который заражает системы для шифрования потенциально важных файлов и требует денег за их расшифровку. Наряду с безопасным шифрованием он также назначает .cooper расширение для затронутых файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.cooper и потеряет свой первоначальный значок. После этого изменения файлы больше нельзя будет использовать, даже если вы удалите добавленное расширение. Чтобы отменить эти изменения, инструкции по расшифровке представлены в Cooper_Recover.txt файле. Киберпреступники призывают жертв связываться с ними по электронной почте и платить за уникальное программное обеспечение для расшифровки. Злоумышленники — единственные, кто имеет к нему доступ, и говорят, что ни один другой инструмент не может обеспечить расшифровку зашифрованных файлов .cooper. При обращении жертв также просят указать идентификатор в строке темы сообщения электронной почты. К сожалению, если у вас нет доступной резервной копии, которую можно использовать для извлечения копий зашифрованных файлов, уплата выкупа кибер-мошенникам может быть единственным способом вернуть ваши файлы обратно. Множественные заражения программами-вымогателями используют надежные алгоритмы шифрования и генерируют онлайн-ключи, поэтому расшифровка практически невозможна без помощи первоначальных разработчиков.

Coza — новый образец программы-вымогателя, разработанный небезызвестной группой вымогателей STOP/Djvu. Как и многие другие варианты, опубликованные этими киберпреступниками, этот использует почти идентичный шаблон шифрования и вымогательства. Поселившись на зараженной машине, вирус начинает сканирование и, следовательно, шифрование потенциально важных фрагментов данных. Тем самым вирус стремится создать больше стимулов для жертв платить за расшифровку, предложенную злоумышленниками. В дополнение к шифрованию вредоносное ПО также гарантирует, что жертвы смогут отличить заблокированные файлы от незаблокированных, просто назначив .coza расширение. Например, файл, ранее названный 1.xlsx изменится на 1.xlsx.coza, 1.pdf в 1.pdf.coza и так далее с другими целевыми типами файлов. Чтобы отменить шифрование, жертвы должны следовать инструкциям в _readme.txt .

Pwpdvl это вирус-вымогатель, предназначенный для вымогательства денег у жертв путем шифрования данных. Другими словами, люди, затронутые этой вредоносной программой, больше не смогут получать доступ к своим файлам и просматривать их. Когда Pwpdvl шифрует потенциально важные файлы, он также присваивает идентификатор жертвы вместе с .pwpdvl расширение в конце. Например, такой файл 1.pdf изменится на что-то вроде 1.pdf.[ID-9ECFA84E].pwpdvl и оставит свой оригинальный значок. Чтобы заставить жертв платить деньги за восстановление, шифровальщик файлов создает текстовую заметку с требованием выкупа (RESTORE_FILES_INFO.txt), который содержит инструкции по расшифровке. От жертв требуется связаться с мошенниками (через Bitmessage или qTOX) и оплатить расшифровку в криптовалюте Monero (XMR). Перед отправкой платежа киберпреступники также предлагают протестировать бесплатную расшифровку — жертвы могут отправить 2 зашифрованных файла (неважных и размером не более 1 МБ) и разблокировать их бесплатно. Это своего рода гарантия, которую вымогатели предлагают доказать свои дешифровальные способности и придать дополнительную уверенность для уплаты выкупа. Однако учтите, что доверять киберпреступникам всегда рискованно. Некоторые пользователи обманываются и не получают обещанных инструментов/ключей дешифрования, несмотря на выполнение требований. Несмотря на это, к сожалению, только разработчики программ-вымогателей обладают необходимыми ключами дешифрования для безопасного восстановления доступа к данным. Независимая расшифровка с помощью сторонних инструментов или теневых копий Windows возможна, но в очень редких случаях, когда программа-вымогатель содержит недостатки или не может зашифровать данные должным образом.