Вирусы

ЛокиЛок это название инфекции выкупа. После успешной установки в целевую систему он шифрует важные файлы и вынуждает жертв платить деньги за их расшифровку. Мы также обнаружили, что LokiLok был разработан на основе другого вируса-вымогателя под названием Chaos. Как только происходит шифрование, жертвы могут видеть, как их данные изменяются с помощью .LokiLok расширение. Для иллюстрации файл с именем 1.pdf больше всего изменится на 1.pdf.LokiLok и сбросьте его первоначальный значок. После этого жертвы больше не смогут получить доступ к своим данным и должны искать инструкции по расшифровке в read_me.txt файл. Вирус также заменяет обои по умолчанию на новую картинку. Киберпреступники хотят, чтобы жертвы купили специальный инструмент для расшифровки. Для этого жертвам необходимо связаться с вымогателями по прикрепленному адресу электронной почты (tutanota101214@tutanota.com). Перед покупкой необходимого ПО также предлагается отправить 2 небольших файла — злоумышленники обещают их расшифровать и отправить обратно, чтобы доказать дешифровальные способности. Кроме того, сообщение предостерегает от попыток использования внешних методов восстановления, поскольку это может привести к необратимому уничтожению данных. Какие бы гарантии ни давали разработчики вымогателей, доверять им всегда не рекомендуется. Многие обманывают своих жертв и не присылают программное обеспечение для расшифровки даже после отправки им денег.

Оплатить программы-вымогатели другими словами, файл-шифровальщик, который предотвращает доступ пользователей к их собственным данным. Недавнее расследование подтвердило, что этот вирус принадлежит группе разработчиков программ-вымогателей, известных как Xorist. Подобно другим инфекциям этого типа, вирус изменяет все зашифрованные файлы, используя .Платить расширение. Для иллюстрации файл с именем 1.pdf изменится на 1.pdf.Pay а также сбросить его первоначальный значок. После завершения работы с шифрованием Pay Ransomware отображает всплывающее окно и создает текстовый файл с названием HOW TO DECRYPT FILES.txt. Оба они содержат одинаковую информацию о том, как вернуть доступ к файлам. Говорят, что жертвы могут восстановить доступ к файлам, заплатив 50 долларов на биткойн-адрес киберпреступников. После завершения жертвы должны будут связаться с вымогателями через клиент qTox и получить их код расшифровки. Также есть предупреждение о том, что 5 неудачных попыток ввести правильный код приведут к необратимому уничтожению данных. Вслед за этим мошенники призывают жертв быть более осторожными при совершении вышеперечисленных действий. Кроме того, также говорится, что никакое стороннее программное обеспечение, такое как антивирус, не поможет, а только предотвратит дальнейшую расшифровку данных. К сожалению, то, что они излагают в своих сообщениях, может быть правдой — некоторые киберпреступники устанавливают защиту от ручных попыток расшифровать заблокированные данные. В таком случае единственный вариант, если вы остро нуждаетесь в восстановлении своих файлов, — это либо заплатить требуемый выкуп, либо использовать свои собственные резервные копии с внешнего хранилища, чтобы компенсировать потерю.

КриптБИТ шифрует системные файлы, делая их недоступными, а также требует от жертв 400 евро за расшифровку данных. Таким образом, инфекции, действующие таким образом, классифицируются как программы-вымогатели. Во время шифрования CryptBIT выделяет заблокированные данные, добавляя новое расширение (.криптбит). Другими словами, файл типа 1.pdf изменится на 1.pdf.cryptbit а также сбросить исходный значок. То же самое произойдет с другими типами файлов, зашифрованными программой-вымогателем. Вирус также меняет обои рабочего стола и создает текстовый файл с именем CryptBIT-восстановление-files.txt в каждую зашифрованную папку. Этот файл инструктирует жертв о том, как расшифровать свои данные. В примечании отображается текст о том, что все файлы были зашифрованы и загружены на внешние серверы. Поэтому говорится, что жертвы могут восстановить свои данные, но должны отправить 400 евро (в биткойнах) на прикрепленный крипто-адрес. Киберпреступники также просят указать адрес электронной почты жертвы, на которую обещают выслать необходимый расшифровщик файлов. К сожалению, неясно, как потерпевшие должны это делать. При выполнении криптовалютных переводов часто (если не всегда) невозможно указать дополнительную информацию, например адрес электронной почты. Таким образом, такие технические недоразумения уже дают веские основания не доверять киберпреступникам, стоящим за CryptBIT Ransomware. Также возможно, что этот шифровальщик является лишь пилотной версией, и когда-нибудь в будущем киберпреступники будут распространять обновленный шифровальщик. Как бы то ни было, платить выкуп всегда не рекомендуется.

Dllhost.exe является вредоносным программным обеспечением, маскирующимся под dllhost.exe (COM Surrogate) — законным и важным процессом Windows, который по умолчанию работает внутри каждой системы. Таким образом, вирус пытается помешать пользователям подумать, что это что-то подозрительное. Также можно увидеть несколько подлинных процессов dllhost.exe в диспетчере задач, потребляющих тонны ресурсов ЦП. Например, известно, что троян под названием Poweliks использует законный процесс для выполнения своей грязной работы. Вредоносное ПО, о котором мы сегодня говорим, создает отдельный поддельный процесс для выполнения своих нежелательных задач. Выяснилось, что пользователи, затронутые им, видят принудительно открытые веб-сайты, такие как страницы для взрослых, казино, азартные игры, фишинг, мошенничество, порнография и другие виды ресурсов, рекламирующие потенциально опасный контент. Список возможных функций вредоносного ПО не заканчивается только принудительной переадресацией. Такие заражения могут включать функции записи экрана/аудио, запоминание нажатий клавиш, слежку за конфиденциальными данными, установку вредоносных программ, таких как крипто-майнеры, и другие подобные вещи. Если вы подозреваете, что заражены вредоносным ПО, маскирующимся под Dllhost.exe, обязательно следуйте приведенному ниже руководству, чтобы обнаружить и немедленно удалить его.

Кекваре является недавним вирусом-вымогателем. Основным признаком успешного проникновения этой инфекции в систему является надежное шифрование данных. В результате пользователи больше не смогут получать доступ к файлам или изменять их, как раньше. Жертвы также увидят изменение в том, как отображаются их данные — все зашифрованные образцы переименовываются в соответствии со следующим шаблоном — [случайная_строка].[исходное_расширение][случайная_строка].cyn. К примеру, файл вроде 1.pdf может измениться на что-то вроде 7462.jpg7088.cyn а также сбросить его первоначальный значок. После завершения этой части шифрования вирус создает файл с именем YcynNote.txt, который содержит инструкции по расшифровке. Как сказано в примечании, жертвы должны заплатить выкуп в размере 500 долларов в биткойнах на прикрепленный криптовалютный кошелек. Киберпреступники говорят, что если жертвы решат не выполнять требования, без их участия расшифровка данных будет невозможна. К сожалению, на момент написания этой статьи к этому утверждению действительно следует относиться очень серьезно. Если у вас нет резервных копий данных, сохраненных на внешних носителях, у вас будет шанс расшифровать данные Kekware с помощью сторонних инструментов.

НОКОЯВА — это заражение, классифицируемое как программа-вымогатель, которое запускает шифрование данных и вынуждает жертв платить деньги за его восстановление. В отчете, опубликованном Trend Micro, говорится о сходных чертах атаки NOKOYAWA Ransomware с Hive — широко распространенной и разрушительной группой разработчиков, которая всего за несколько месяцев взломала более 300 организаций. Киберпреступники, стоящие за NOKOYAWA Ransomware, используют .НОКОЯВА расширение для переименования целевых данных. Например, такой файл 1.xlsx изменит свое название на 1.xlsx.NOKOYAWA а также сбросить исходный значок. Таким образом, за успешным шифрованием следует создание записки с требованием выкупа. НОКОЯВА_readme.txt файл приходит на рабочий стол. Внутри этой заметки киберпреступники пытаются убедить жертв выбрать платную расшифровку. Они дублируют информацию на английском и китайском языках, чтобы связаться с вымогателями через один из их адресов электронной почты (brookslambert@protonmail.com or sheppardarmstrong@tutanota.com). Если жертвы откажутся от их предложений, мошенники грозятся опубликовать, что называется, «черное дерьмо» на ресурсах открытого доступа. Цена за расшифровку держится в секрете, пока жертвы не установят контакт, и, вероятно, она также будет оцениваться индивидуально для каждой жертвы. Другими словами, сумма выкупа может сильно варьироваться в зависимости от того, насколько ценны захваченные данные. Как правило, не рекомендуется доверять киберпреступникам и выполнять их требования, так как это может стоить вам просто пустой траты денег.

D3adCrypt шифрует данные, хранящиеся в системе (с .d3ad продление) и требует от потерпевших уплаты денежного выкупа за его возвращение. Например, такой файл 1.pdf станет 1.pdf.d3ad также сброс его исходного значка. Также создается записка о выкупе (d3ad_Help.txt), объясняя жертвам, как они могут вернуть доступ к файлам. Говорят, что жертвы должны написать электронное письмо со своим личным идентификатором на указанный адрес d3add@tutanota.com. В случае, если никто не отвечает, жертва также должна связаться с дополнительным адресом электронной почты (propersolot@gmail.com). Киберпреступники завершают сообщение с требованием выкупа предупреждением о недопустимости переименования файлов, самостоятельной расшифровки файлов или попытки привлечь помощь сторонних организаций. Обратите внимание, что цена за расшифровку держится в секрете, пока жертвы не наладят дальнейшую связь с киберпреступниками. Цена также может варьироваться в зависимости от того, какой информационный ущерб был нанесен жертвам при шифровании. Обычно киберэксперты не рекомендуют платить выкуп — обширные исследования показывают, что многие вымогатели обманывают своих жертв и не предоставляют им обещанных средств расшифровки. Увы, реальных способов расшифровать ваши данные на момент написания этой статьи не существует. Это может стать возможным в будущем, но никто не может сказать, когда. Вы можете попробовать некоторые надежные и широко используемые инструменты из нашего руководства ниже, но нет никакой гарантии, что они действительно смогут помочь. На данный момент лучший способ избежать уплаты выкупа и одновременно восстановить данные — это резервные копии.

Обнаруженный командой MalwareHunterTeam, Искриться это вирус-вымогатель, предназначенный для хранения файлов под замком и шантажа жертв, заставляющих их платить деньги за их возврат. Это делается с помощью так называемого процесса шифрования, когда такие заражения используют надежные алгоритмы военного уровня для генерации шифров. В результате данные перестают быть доступными для пользователей. Люди, атакованные Spark Ransomware, увидят, что их файлы изменятся на что-то вроде этого 1.pdf.Spark и сбросить их значки. После ограничения всех целевых файлов вирус отображает всплывающее окно с инструкциями по выкупу. Киберпреступники говорят, что расшифровка невозможна без специального закрытого ключа. Вот почему жертвам рекомендуется приобрести ключ, связавшись с разработчиками по их адресу электронной почты (notvalidemailadress.ransom@gmail.com). Мошенники также предостерегают от внесения изменений в файлы, приводящих к выключению ПК, что может привести к необратимой потере данных и повреждению системы. Есть таймер, в течение которого жертвы должны связаться с разработчиками и оплатить расшифровку. Однако вымогатели не уточняют, что будет по истечении времени. Основываясь на других анализах программ-вымогателей, многие мошенники угрожают, что собранные данные будут безвозвратно удалены или просочились на ресурсы даркнета, однако это не доказывает, что это относится и к Spart Ransowmare. Прискорбно признавать, но вряд ли вы найдете 100% работающий инструмент для расшифровки файлов .Spark.