Вирусы

Roghe это вирус-вымогатель, нацеленный на личные данные жертв. После того, как вредоносное ПО заражает целевую систему, оно начинает шифрование потенциально важных файлов, делая их недоступными до тех пор, пока не будет получен ключ дешифрования. В процессе шифрования Roghe Ransomware назначает .enc расширение к зараженным файлам. Например, такой файл 1.pdf превратится в 1.pdf.enc и так далее с другими затронутыми файлами. Как только все файлы зашифрованы, вирус меняет обои рабочего стола и принудительно открывает всплывающее окно с рекомендациями по расшифровке. Текст, отображаемый на недавно назначенных обоях, позволяет пользователям узнать, что они были заражены, и побуждает их следовать инструкциям из открытого всплывающего окна. Кроме того, он также имеет QR-код, ведущий к дополнительной информации о вредоносном ПО. В окне «Roghe Decryptor» говорится, что у жертв есть 15 минут, чтобы получить ключ и вставить его для разблокировки доступа к файлам — в противном случае зашифрованные файлы будут удалены навсегда. Также говорится, что в течение 20 минут операционная система будет недоступна, по сути, заблокирована.

Новая волна STOP Ransomware инфекции продолжается с Qowd Ransomware, который добавляет .qowd расширения. Программа STOP Ransomware была впервые обнаружена в 2018 году и с тех пор превратилась в один из самых распространенных типов программ-вымогателей. Эти расширения «.qowd» были добавлены к зашифрованным файлам в конце февраля 2023 года. Этот хитрый вирус использует алгоритм шифрования AES для кодирования важной информации пользователей. Как правило, Qowd Ransomware атакует фотографии, видео и документы — данные, которые ценны для людей. Разработчики вредоносного ПО вымогают выкуп и обещают взамен предоставить ключ для расшифровки. Полная расшифровка утерянных данных возможна в меньшинстве случаев, если использовался автономный ключ шифрования, в противном случае воспользуйтесь инструкциями на странице для восстановления зашифрованных файлов. Программа-вымогатель также создает записку с требованием выкупа (_readme.txt), который информирует жертву об атаке и требует оплату в биткойнах или других криптовалютах в обмен на ключ дешифрования.

Iotr Ransomware (иногда называется STOP Ransomware or DjVu Ransomware) — широко распространенный вирус-шифровальщик, впервые появившийся в декабре 2017 года. С тех пор произошло множество технических и дизайнерских изменений, а также сменилось несколько поколений вредоносных программ. Программа-вымогатель использует алгоритм шифрования AES-256 (режим CFB) для кодирования пользовательских файлов, а после этой последней версии (появившейся в конце февраля 2023 года) добавляет .iotr расширения. После шифрования вирус создает текстовый файл _readme.txt, которая называется «записка о выкупе», где хакеры раскрывают сумму выкупа, контактную информацию и инструкции по его оплате. STOP Программа-вымогатель с расширением .iotr использует следующие адреса электронной почты: support@freshmail.top и datarestorehelp@airmail.cc, как и десятки его предшественников.

Kangaroo — это заражение программами-вымогателями, выпущенное разработчиками более ранних файловых шифраторов, таких как Apocalypse, Fabiansomware и Esmeralda. Хотя этот файловый шифратор активно распространялся в 2021 году, некоторые пользователи все еще могут проникнуть в него в наши дни. Целью вредоносного ПО этой категории является шифрование потенциально важных данных и вымогательство денег за расшифровку у жертв. Особенность, которая выделяет Kangaroo среди других распространенных программ-вымогателей, заключается в том, что она настраивает значения реестра для отображения сообщения о выкупе перед входом на экран входа в систему Windows. Сразу после входа в систему также отображается поддельный экран с тем же сообщением о выкупе, но на этот раз с выделенным полем для ввода пароля для его разблокировки. Во время шифрования Kangaroo также назначает .crypted_file расширение и создает идентичные сообщения о выкупе в виде текстовых заметок. Такие текстовые заметки создаются дополнительно к каждому зашифрованному файлу и называются на основе имени файла после шифрования (например, здесь 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (также известный как STOP Ransomware or Djvu Ransomware) — чрезвычайно опасный вирус, который шифрует файлы с помощью алгоритма шифрования AES-256 и добавляет .ioqa расширения к затронутым файлам. Заражение в основном связано с важными и ценными файлами, такими как фотографии, документы, базы данных, электронная почта, видео и т. д. Ioqa Ransomware не трогает системные файлы, чтобы позволить Windows работать, поэтому пользователи смогут заплатить выкуп. Если сервер вредоносных программ недоступен (компьютер не подключен к Интернету, удаленный хакерский сервер не работает), то шифровальный инструмент использует зашитые в нем ключ и идентификатор и выполняет офлайн-шифрование. В этом случае можно будет расшифровать файлы без уплаты выкупа. Ioqa Ransomware создает _readme.txt файл, содержащий сообщение о выкупе и контактные данные, на рабочем столе и в папках с зашифрованными файлами. С разработчиками можно связаться по электронной почте: support@freshmail.top и datarestorehelp@airmail.cc.

Mikel Ransomware — вредоносная инфекция, предназначенная для шифрования личных данных и вымогательства денег за их расшифровку. Он также идентифицируется как новый вариант другого шифровальщика файлов под названием Proxima. Во время шифрования Mikel Ransomware назначает .mikel расширение, чтобы выделить изменение. Например, такой файл 1.pdf изменится на 1.pdf.mikel и сбросится его первоначальный значок. Обратите внимание, что удаление присвоенного расширения из зашифрованного файла не вернет доступ к нему. Шифрование делает данные навсегда заблокированными, и для их разблокировки требуются ключи дешифрования. После завершения шифрования вирус создает Mikel_Help.txt текстовую заметку с инструкциями по расшифровке.

STOP Ransomware представляет собой сложный шифровальный вирус, который использует алгоритм Salsa20 для кодирования конфиденциальных личных данных, таких как фотографии, видео и документы. Последняя версия (Iowd Ransomware), появившаяся в середине февраля 2023 года, добавляет .iowd расширение к файлам и делает их нечитаемыми. На сегодняшний день в семейство входит около 600 представителей, а общее количество пострадавших пользователей приближается к миллиону. Большинство атак приходится на Европу и Южную Америку, Индию и Юго-Восточную Азию. Угроза также затронула США, Австралию и Южную Африку. Хотя вирус Iowd менее известен, чем GandCrab, Dharma и другие трояны-вымогатели, именно на этот год приходится более половины обнаруженных атак. При этом следующий участник рейтинга, вышеупомянутый Дхарма, отстает от него по этому показателю более чем в четыре раза. Немалую роль в распространенности STOP Ransomware играет его разнообразие: в наиболее активные периоды специалисты ежедневно обнаруживали по три-четыре новые версии, каждая из которых поразила несколько тысяч жертв.

Crackonosh — это название троянца, скрытно распространяемого внутри взломанных установщиков программного обеспечения. После успешной установки его цель — внедрить майнер XMRIG и начать добычу криптовалюты Monero для злоумышленников. На данный момент статистика показывает, что этот майнер помог киберпреступникам добыть сумму Monero на сумму около двух миллионов долларов. Пара слов о том, как троянец выполняет свою вредоносную работу: после запуска установщика взломанного программного обеспечения он помещает установщик и скрипт в целевую систему, которая затем изменяет настройки реестра Windows, отключая режим гибернации и активируя Crackonosh в безопасном режиме. Режим при следующем запуске системы. Таким образом, троян деактивирует Центр обновления Windows и Защитник Windows и даже может удалить сторонние антивирусные программы (например, Avast, Bitdefender, Kaspersky, McAfee и Norton), чтобы снизить вероятность обнаружения и блокировки. Чтобы скрыть свое присутствие, он стирает файлы системного журнала, serviceinstaller.msi файлов, а также maintenance.vbs файлы. В результате некоторые зараженные системы могут отображать сообщения об ошибках, указывающие на проблемы с вышеупомянутыми файлами. Кроме того, Crackonosh также может останавливать службы Windows Update и заменять значок безопасности Windows фальшивым зеленым значком на панели задач. Основными симптомами, которые должны привлечь ваше внимание и заставить вас заподозрить, что с вашей системой что-то не так, обычно являются более медленная и медленная производительность ПК, повышенная загрузка ЦП/ГП/ОЗУ, перегрев, неожиданные сбои и другие связанные с этим проблемы. Таким образом, если какой-либо из этих симптомов присутствует, обязательно прочитайте наше руководство ниже и устраните потенциальный троян для криптомайнинга с вашего компьютера.