Вирусы

Fofd Ransomware (версия STOP Ransomware or DjVu Ransomware) — широко распространенный вирус-шифровальщик с высоким уровнем риска, впервые появившийся около 5 лет назад. За это время он претерпел несколько визуальных и технических изменений. В этом руководстве мы проанализируем последние версии этой опасной вредоносной программы. В самом конце апреля 2023 года программа STOP Ransomware начала добавлять к зашифрованным файлам следующие расширения: .fofd. Именно из-за этого он получил название «Fofd Ransomware», хотя это всего лишь одна из разновидностей STOP-криптовируса. Вирус также изменяет файл hosts, чтобы блокировать обновления Windows, антивирусные программы и сайты, связанные с новостями в области безопасности или предлагающие решения для обеспечения безопасности. Процесс заражения также выглядит как установка обновлений Windows, вредоносное ПО показывает фальшивое окно, имитирующее процесс обновления. Новый подтип STOP Ransomware использует те же адреса электронной почты, что и несколько предыдущих поколений: support@freshmail.top и datarestorehelp@airmail.cc. Fofd Ransomware создает _readme.txt файл с запиской о выкупе.

WannaCry (также упоминается как Wcry, Wana Decrypt0r 2.0, WanaDecryptorи вирус WNCRY) — это вирус-вымогатель, который шифрует личные файлы с использованием алгоритмов AES-128 и требует от жертв оплаты за расшифровку. Вирус был обнаружен исследователем безопасности S!Ri, и существует несколько известных вариантов WannaCry. В зависимости от того, какой вариант атаковал систему, файлы, затронутые шифрованием, будут изменены с использованием .wcry, .wncryили WNCRYT (для зашифрованных файлов .bmp). Например, такой файл 1.pdf изменится на 1.pdf.wcry или аналогично в зависимости от версии программы-вымогателя. После этого вирус отображает инструкции по расшифровке в принудительно открытом всплывающем окне. Один из вариантов также меняет обои рабочего стола. Wana Decrypt0r 2.0 Вариант также создает отдельную записку с требованием выкупа под названием @Please_Read_Me@.txt.

Если ваши файлы недавно получили .foty расширения, это означает, что ваш компьютер заражен вирусом-шифровальщиком под названием Foty Ransomware (часть STOP Ransomware or Djvu Ransomware семейства, названное так потому, что первые версии вирусов этого типа дополнялись .djvu расширение). Это очень распространенное и активно распространяемое вредоносное ПО. Программа-вымогатель изначально использовала алгоритм шифрования AES-256, и возможности расшифровки не было. Однако, если во время процесса шифрования зараженный компьютер был вне Интернета или соединение с удаленным сервером хакеров было прервано, ваши файлы можно расшифровать, используя методы, указанные ниже. STOP Ransomware имеет примечание о выкупе под названием _readme.txt. В этом текстовом файле злоумышленники предоставляют контактную информацию и информацию о том, как произвести платеж. Вирус копирует его на рабочий стол и в папки с зашифрованными файлами. Хакеры предоставляют следующие контакты, адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc.

Foza Ransomware разрушительный вирус-шифровальщик из серии STOP Ransomware (Djvu Ransomware). Foza Ransomware — это вариант семейства STOP/Djvu Ransomware, который известен тем, что использует комбинацию двух алгоритмов шифрования: RSA и AES. RSA используется для шифрования симметричного ключа AES, который генерируется для каждого файла. Это означает, что у каждого файла есть свой уникальный ключ AES, который используется для шифрования и расшифровки содержимого файла. Пара ключей RSA генерируется программой-вымогателем на компьютере жертвы, а открытый ключ отправляется на сервер злоумышленника, который затем используется для шифрования симметричного ключа AES. Он получил свое название от .foza расширение, которое программа-вымогатель добавляет в конец зашифрованных файлов. С технической точки зрения вирус остался таким же, как и предыдущие версии. Единственное, что меняется за последние пару лет, так это контактные данные злоумышленников.

Kafan — новый вирус-вымогатель, заражающий пользователей Windows с целью шифрования личных данных и вымогательства денег за их расшифровку у жертв. После установки программа-вымогатель быстро просканирует сохраненные данные и запустит процесс шифрования с использованием надежных криптографических алгоритмов. Кроме того, вредоносное ПО также будет назначать свои собственные .kafan расширение для распознавания заблокированных файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.kafan и станет недоступным. Наконец, файловый шифратор генерирует примечание о выкупе под названием help_you.txt с инструкциями о том, как вернуть данные. Сообщение о выкупе требует, чтобы жертвы отправили сообщение электронной почты киберпреступникам (PYTHONHAVENONAME@163.COM) и заплатили за расшифровку. При отправке сообщения жертв также просят указать свой идентификатор в заголовке/теме сообщения. Говорят, что цена расшифровки зависит от того, насколько быстро жертвы устанавливают связь с злоумышленниками. Киберпреступники используют такие методы манипуляции, чтобы оказать дополнительное давление на жертв и потенциально заставить их согласиться заплатить выкуп.

Recov — это новый вариант программы-вымогателя из семейства VoidCrypt. После проникновения в систему он запускает шифрование данных (чтобы предотвратить доступ жертв к файлам) и предлагает жертвам заплатить за комплект программного обеспечения для дешифрования + ключ RSA для разблокировки файлов. Инструкции, как это сделать, представлены внутри Dectryption-guide.txt записки о выкупе. Еще одна вещь, которую делает этот вымогатель, — это приписывание визуальных изменений зашифрованным файлам — строки символов, состоящей из идентификатора жертвы, адреса электронной почты киберпреступников и .Recov расширение будет добавлено к именам файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov или аналогично. Киберпреступники требуют, чтобы жертвы установили с ними контакт по электронной почте (Recoverifiles@gmail.com или Recoverifiles@protonmail.com в случае отсутствия ответа). Пока не ясно, что нужно вымогателям, вполне вероятно, что они потребуют от своих жертв заплатить определенную плату за инструмент дешифрования и ключ RSA, которые доступны только разработчикам.

Kadavro Vector — программа-вымогатель, ориентированная на пользователей, говорящих на английском, русском и норвежском языках. Целью этого вируса является шифрование потенциально важных данных и вымогательство денег у жертв за их расшифровку. Делая файлы недоступными, вредоносное ПО также добавляет .vector_ расширение для целевых файлов. Например, файл, первоначально названный 1.pdf изменится на 1.pdf.vector_ и сбросьте его первоначальный значок. Вскоре после успешного шифрования Kadavro Vector принудительно открывает всплывающее окно с рекомендациями по расшифровке. Кроме того, меняются обои рабочего стола. В записке о выкупе жертвам предлагается не отключать Интернет и свой компьютер, поскольку в противном случае это может привести к повреждению зашифрованных данных. Чтобы вернуть данные, жертвы должны купить криптовалюту Monero (XMR) на сумму 250 долларов и отправить ее на криптоадрес киберпреступников. Кроме того, есть еще и таймер, показывающий, сколько времени пользователи должны заплатить за расшифровку. Говорят, что если жертвам не удастся сделать это в течение отведенного времени, все файлы будут удалены с использованием передовых алгоритмов, что сделает их безвозвратно невосстановимыми в будущем. Тем самым злоумышленники пытаются оказать дополнительное давление на жертв и тем самым заставить их выполнить требования по расшифровке.

Coty Ransomware является частью большого cемейства программ-вымогателей STOP/Djvu. Свое название она получила потому, что в исходные версии вредоносной программы к файлам добавлялось .stop (потом .djvu) и зашифровали их с помощью комбинации криптографии AES и RSA, чтобы сделать файлы недоступными на зараженном компьютере с Windows. Coty Ransomware согласно своему названию добавляет .coty расширение. Эта версия появилась в конце апреля 2023 года. Как только программа-вымогатель Coty/STOP завершает процедуру шифрования, вирус создает записку с требованием выкупа для _readme.txt файл. В сообщении мошенников говорится, что жертвы должны заплатить выкуп в течение 72 часов. Авторы СТОП-вируса требуют 490 долларов в течение первых трех дней и 980 долларов после этого периода. Для подтверждения хакеры разрешают отправить 1-3 «не очень больших» файла для бесплатной расшифровки на support@freshmail.top or datarestorehelp@airmail.cc для теста.