Вирусы

Новые экземпляры STOP Ransomware (DjVu Ransomware) продолжают повреждать файлы пользователей по всему миру. STOP/Djvu Ransomware — это особый тип программ-вымогателей, который активен с 2017 года. Это тип вредоносного ПО для шифрования файлов, которое шифрует файлы жертв и требует оплаты в обмен на ключ дешифрования. Этот криптовирус использует сложный алгоритм шифрования AES, чтобы блокировать доступ пользователей к их данным и вымогать выкуп в размере 490 или 980 долларов. Одна из новых вариаций расширения, появившихся в октябре 2022 года, это: .cosw. Соответствующая программа-вымогатель получила название Cosw Ransomware. Вирус добавляет такие суффиксы в конец зашифрованных файлов. Если ваши файлы получили такое окончание и недоступны, это означает, что ваш компьютер заражен STOP Ransomware. Разработчики вредоносных программ технически немного модифицируют вирус.

Goba Ransomware, который на самом деле является следующим поколением STOP Ransomware появился в начале марта 2023 года. Этот вирус шифрует важные файлы пользователей, такие как документы, фотографии, базы данных, музыку, с помощью шифрования AES и добавляет .goba расширения к затронутым файлам. Эта программа-вымогатель практически идентична многочисленным предыдущим версиям вредоносной программы, описанной нами ранее, принадлежит тем же авторам и использует те же адреса электронной почты (support@freshmail.top и datarestorehelp@airmail.cc) и те же биткойн-кошельки. Полная расшифровка практически невозможна, однако частично ваши данные можно восстановить по инструкции в этой статье. После завершения работы вирус создает _readme.txt файл с запиской о выкупе на рабочем столе и в папках с затронутыми файлами.

Если ваши файлы были внезапно изменены с помощью .wannasmile расширения (например, 1.pdf.wannasmile) и теперь вы видите сообщение с требованием выкупа во всплывающем окне, то, скорее всего, вы имеете дело с WannaSmile Ransomware. Хотя для этого нет достаточных оснований, WannaSmile может быть новой версией другого одноименного шифровальщика 2017 года (иранских разработчиков), которому присваивалось .WSmile расширение. Как правило, такое вредоносное ПО обычно предназначено для того, чтобы сделать данные недоступными (посредством шифрования), а затем вымогать деньги у жертв за их расшифровку.

Разработанный Djvu семейства, Goaq Ransomware — вредоносная программа, выполняющая обширное шифрование личных данных. Он использует популярные, но надежные алгоритмы для строгой блокировки хранимых файлов. Таким образом, это не позволяет пользователям успешно выполнять расшифровку вручную. Зная, что пользователи не смогут самостоятельно восстановить файлы, злоумышленники предлагают расшифровать данные с помощью их инструментов за определенную сумму денег. Детали, которые представлены внутри текстовой заметки, называемой _readme.txt, который создается после того, как Goaq присваивает данным новые расширения. В частности, он добавляет .гоак расширение, чтобы зашифрованные файлы выглядели примерно так 1.pdf.goaq. Как только такие изменения будут внесены, пользователи потеряют доступ к своим данным.

Эта статья содержит информацию о Gosw Ransomware версии STOP Ransomware которая добавляет .gosw расширения к зашифрованным файлам и создает файлы заметок о выкупе на рабочем столе и в папках с затронутыми файлами. К сожалению, алгоритм шифрования этого вымогателя в настоящее время не поддается взлому, но есть небольшие шансы восстановить ваши файлы, которые мы описываем в этом тексте. Gosw Ransomware активно распространяется в следующих странах: США, Канада, Испания, Мексика, Турция, Египет, Бразилия, Чили, Эквадор, Венесуэла, Германия, Польша, Венгрия, Индонезия, Таиланд. Эта вариация впервые появилась в начале марта 2023 года и практически идентична предыдущим десяткам вариаций. Вирус-вымогатель по-прежнему использует алгоритм шифрования AES и по-прежнему требует выкуп в биткойнах за расшифровку.

Alice Ransomware — вредоносная программа, предназначенная для шифрования личных данных пользователей и вымогательства денег за их расшифровку. Шифруя доступ к файлам с помощью безопасных алгоритмов, файл-шифратор также присваивает .alice расширение для зашифрованных данных. Например, такой файл 1.pdf скорее всего изменится на 1.pdf.alice и сброситься его первоначальный значок. Многие программы-вымогатели присваивают собственное расширение, чтобы отличить зашифрованные файлы и заставить пользователей заметить изменение. Инструкции по возврату файлов представлены в How To Restore Your Files.txt текстовый файл, который создается после успешного шифрования. Эта текстовая заметка содержит рекомендации, написанные на русском языке, что указывает на то, что этот шифратор предназначен в основном для русскоязычных пользователей. Стоит отметить, что Алиса была распространена в двух вариантах с немного различающимся текстом записки о выкупе.

STOP Ransomware это чума 2017-2023 гг., живучий вирус, основанный на технологии шифрования, Qotr Ransomware является его последней версией. Программа-вымогатель использует алгоритм шифрования AES для кодирования важных файлов и вымогает выкуп в биткойнах за расшифровку. Эта вредоносная программа нацелена в основном на западные страны, но были обнаружены тысячи заражений и в других частях мира. Qotr Ransomware использует те же шаблоны, но добавляет другие расширения для изменения файлов. Версия, которую мы наблюдаем сегодня, добавляет .qotr расширение. Криптовирус поражает ценные данные пользователя: фотографии, видео и документы, захватывает в заложники потенциально важные файлы. В то же время он сохраняет системные файлы Windows нетронутыми. Во всех последних версиях использовался файл с запиской о выкупе под названием _readme.txt, и этот вариант не исключение. Все образцы принадлежат одним и тем же авторам, так как они используют одни и те же контактные данные: support@freshmail.top и datarestorehelp@airmail.cc.

Qoqa Ransomware (который является частью большого семейства STOP / Djvu Ransomware) - неприятный вирус, который шифрует файлы на компьютерах с использованием алгоритма шифрования AES, делает их недоступными и требует денег в обмен на так называемый «дешифратор». Файлы, обработанные последней версией STOP Ransomware, в частности, можно отличить по .qoqa расширения. Анализ показал, что криптографический установщик, загруженный с «кряком» или рекламным ПО, устанавливается под произвольным именем в %LocalAppData%\ папку. При запуске загружает туда четыре исполняемых файла: 1.exe, 2.exe, 3.exe и updatewin.exe. Первый из них отвечает за нейтрализацию Защитника Windows, второй - за блокировку доступа к сайтам информационной безопасности. После запуска вредоносной программы на экране появляется фальшивое сообщение об установке обновления для Windows. Фактически, на данный момент практически все пользовательские файлы на компьютере зашифрованы. В каждой папке, содержащей зашифрованные документы, текстовый файл (_readme.txt), в котором злоумышленники объясняют работу вируса. Они предлагают заплатить им выкуп за расшифровку, призывая не использовать сторонние программы, так как это может привести к удалению всех документов.