Вирусы

IDP.Generic — это обобщенное кодовое имя, используемое программным обеспечением для защиты от вредоносных программ для маркировки и, следовательно, помещения в карантин возможной вредоносной активности. IDP.Generic не привязан к какому-либо конкретному файлу — ваш антивирус может назначить этому компоненту обнаружения множество различных файлов. В большинстве случаев такие обнаружения IDP.Generic часто являются ложными срабатываниями и не представляют реальной угрозы для пользователей. Ложное срабатывание — это просто когда антивирусное программное обеспечение ошибочно идентифицирует какой-либо безобидный или законный файл как вредоносный и блокирует его работу или даже полностью удаляет его. Многие пользователи сообщают, что ложная маркировка происходит с файлами видеоигр или другого стороннего программного обеспечения. Обычно движки Avast и AVG чаще всего определяют IDP.Generic как ложноположительные. В этом случае достаточно добавить файл в белый список вашего антивируса и без проблем продолжить использование связанной программы. Однако, несмотря на то, что во многих подобных обнаружениях не о чем беспокоиться, конечно, есть случаи, когда обнаруженные файлы на самом деле являются вредоносными. Убедитесь, что загруженное вами программное обеспечение/файл является полностью законным и не было загружено с какого-либо неофициального и скомпрометированного ресурса.

Qapo Ransomware — новая программа для шифрования файлов, разработанная и опубликованная авторами STOP/Djvu семейства. Практически все версии, озаглавленные этой группой вымогателей, используют аналогичные действия для вымогательства денег у потерпевших. Этот конкретный вариант был выпущен в середине марта 2023 года. Как только Qapo попадает на ваш компьютер, он запускает быстрое сканирование вашей системы, чтобы найти конфиденциальные данные. Затем, как только этот процесс будет завершен, вредоносная программа сможет зашифровать ваши данные. При этом все файлы изменяются с .qapo расширение, которое появляется в конце каждого имени файла. Например, файл типа 1.pdf изменится на 1.pdf.qapoи аналогично. Как только вы заметите такое немедленное изменение, вы больше не сможете получить доступ к данным. Чтобы расшифровать его, киберпреступники инструктируют жертв через шаги, перечисленные в текстовой заметке (_readme.txt), которая открывается по окончании шифрования. Все последние версии этого семейства программ-вымогателей используют одинаковый текст в записках о выкупе.

Qazx Ransomware называется так из-за .qazx расширения, добавляемого к затронутым файлам, изменяющего исходные расширения различных типов конфиденциальных данных. Эта версия появилась в середине марта 2023 года. Фактически, технически это STOP Ransomware, который использует алгоритмы шифрования AES для шифрования файлов пользователя. Этот суффикс - одно из сотен различных расширений, используемых этой вредоносной программой. Означает ли это, что вы потеряли свои ценные данные? Не обязательно. Существуют определенные методы, позволяющие полностью или частично восстановить ваши файлы. Также есть бесплатная утилита дешифрования под названием STOP Djvu Decryptor от EmsiSoft, который постоянно обновляется и способен расшифровать сотни типов этого вируса. После завершения своей разрушительной деятельности Qazx Ransomware создает _readme.txt файл (записка о выкупе), где информирует пользователей о факте шифрования, сумме выкупа и условиях оплаты.

Если вы не можете открыть свои файлы, и у них есть .craa расширение добавленное в конце имен файлов, это означает, что ваш компьютер заражен Craa Ransomwareчасть STOP/Djvu Ransomware семейства. Эта вредоносная программа мучает своих жертв с 2017 года и уже стала самым распространенным вирусом-вымогателем в истории. Он заражает тысячи компьютеров в день, используя различные методы распространения. Он использует сложную комбинацию симметричных или асимметричных алгоритмов шифрования, удаляет точки восстановления Windows, предыдущие версии файлов Windows, теневые копии и в основном оставляет только 3 возможности для восстановления. Первый - заплатить выкуп, однако нет никакой гарантии, что злоумышленники отправят ключ дешифрования обратно. Вторая возможность маловероятна, но стоит попробовать - использовать специальный инструмент расшифровки от Emsisoft, который называется STOP Djvu Decryptor. Он работает только при определенных условиях, которые мы опишем в следующем параграфе. Третий - это использование программ восстановления файлов, которые часто служат обходным путем для проблем, связанных с заражением вымогателями. Рассмотрим файл с запиской о выкупе (_readme.txt), которую вирус размещает на рабочем столе и в папках с зашифрованными файлами.

Esxi (ESXiArgs) Ransomware это вредоносная инфекция, которая нацелена на организации, используя уязвимости в VMware ESXi - инструмент виртуальной машины, используемый для управления и оптимизации различных процессов внутри организаций. Отчеты о безопасности показывают, что киберпреступники используют известные уязвимости в VMware ESXi для получения доступа к серверам и развертывания программы-вымогателя ESXiArgs в целевой системе. После этого вирус начнет искать файлы, расположенные на виртуальной машине, со следующими расширениями: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Для каждого зашифрованного файла программа-вымогатель также создаст отдельный файл с .ESXiArgs or .args расширение с метаданными внутри (вероятно, необходимое для будущей расшифровки).

Будучи последователем Djvu Ransomware, Coba это вирус-вымогатель, нацеленный на личные данные. Как и другие вредоносные программы этого типа, Coba использует шифрование данных, чтобы требовать от жертв денежный выкуп. Все файлы, атакованные Coba (включая изображения, базы данных, документы и т. д.), будут ограничены в доступе, а также изменены визуально. Например, такой файл 1.pdf изменится на 1.pdf.coba в конце шифрования. Разработчики этого варианта вымогателя применяют .coba расширение для каждого из целевых файлов, хранящихся в системе. Следующее, что он делает после манипулирования расширениями данных, создает записку с требованием выкупа (_readme.txt), которая содержит инструкции по расшифровке. Как только пользователи откроют его, им будет представлен текст, написанный киберпреступниками. Этот текст предоставляет информацию о том, как вернуть зашифрованные данные.

SkullLocker — это новый вариант программы-вымогателя. Исследования показывают, что он был разработан на основе Chaos Ransomware — еще одной разрушительной и хорошо известной инфекции. При успешном проникновении SkullLocker шифрует доступ к файлам, добавляет свои .skull расширение и создает записку о выкупе (read_it.txt) с инструкциями по расшифровке, написанными на польском языке. Вот полный текст, представленный в заметке, вместе с его переводом на английский язык. В целом киберпреступники требуют, чтобы пользователи произвели оплату в течение 72 часов, иначе данные будут безвозвратно утеряны. Пользователей просят ознакомиться с деталями оплаты и восстановления по прикрепленной ссылке TOR. Кроме того, в примечании не рекомендуется пытаться восстанавливать файлы вручную, так как это может привести к необратимому повреждению файлов.

Coaq Ransomware это подтип STOP Ransomware (или DJVU Ransomware) и обладает всеми характеристиками этого семейства вирусов. Вредоносное ПО блокирует доступ к данным на компьютерах жертвы, шифруя их с помощью алгоритма шифрования AES. STOP Ransomware — одна из самых долгоживущих программ-вымогателей. Первые заражения были зарегистрированы в декабре 2017 года. Coaq Ransomware с таким суффиксом является еще одним его поколением и добавляет .coaq расширения к зашифрованным файлам. После шифрования вредоносная программа создает файл с запиской о выкупе: _readme.txt на рабочем столе и в папках с закодированными файлами. В этом файле хакеры предоставляют информацию о расшифровке и контактные данные, такие как электронные письма: support@freshmail.top и datarestorehelp@airmail.cc.