Вирусы

Будучи разработанным в Италии, Giuliano представляет собой программу-вымогатель, созданную с использованием надежных криптографических алгоритмов (AES-256) для безопасного шифрования данных. Блокируя доступ к личным файлам, вымогатели пытаются обманом заставить жертв заплатить деньги за расшифровку данных. Жертвы могут обнаружить, что их файлы были зашифрованы, просто взглянув на расширение - вирус добавляет новое расширение «.Giuliano», чтобы выделить заблокированные данные. Это означает, что файл вроде 1.pdf изменится на 1.pdf.Giuliano и сбросит свою исходную иконку. Информацию о восстановлении файлов можно найти в текстовой заметке под названием README.txt. Инструкции по расшифровке внутри этого файла представлены на итальянском языке. Киберпреступники информируют жертв об успешном заражении и побуждают их следовать перечисленным инструкциям. Они говорят, что вам следует посетить страницу GitHub, чтобы заполнить некоторые формы. После этого разработчики вредоносных программ, скорее всего, свяжутся со своими жертвами и попросят заплатить выкуп. Обычно требуется провести платеж в BTC или другой криптовалюте, используемой разработчиками. Увы, шифры, применяемые Giuliano Ransomware, надежны и плохо поддаются расшифровке с помощью сторонних инструментов. На данный момент лучший способ восстановить ваши файлы помимо сотрудничества с мошенниками - это использовать резервные копии.

Являясь опасным вирусом-вымогателем, Rook шифрует данные и старается заставить пользователей оплатить выкуп. Вирус легко отличить от других версий, поскольку каждому заблокированному файлу присваивается .rook расширение. Это означает, что файл вроде 1.pdf изменится на 1.pdf.rook и сбросит свой исходный значок после успешного шифрования. Сразу после этого Rook-шифровальщик создает текстовую заметку с именем HowToRestoreYourFiles.txt показывая пользователям, как они могут восстановить данные. В тексте заметки сказано, что восстановить доступ ко всем данным можно, только связавшись с мошенниками и заплатив денежный выкуп. Связь должна быть установлена ​​по электронной почте (rook@onionmail.org; securityRook@onionmail.org) или ссылку на браузер TOR, прикрепленную к заметке. При написании сообщения киберпреступникам предлагается отправить до 3 файлов (не более 1 Мб) и расшифровать их бесплатно. Таким образом киберпреступники в какой-то мере доказывают свои способности дешифрования и свою надежность. Кроме того, если вы обратитесь к вымогателям в течение указанных 3 дней, киберпреступники предоставят 50% скидку на расшифровку. Если вы не уложитесь в этот крайний срок, разработчики Rook начнут сливать ваши файлы в свою сеть, чтобы впоследствии злоупотреблять ими на страницах даркнета. Они также говорят, что никакие сторонние инструменты не помогут вам восстановить файлы.

HarpoonLocker - это название относительно нового вируса-вымогателя. Первая информация о нем появилась на форумах, посвященных вредоносному ПО. Вирус выполняет шифрование данных с помощью алгоритмов AES-256 и RSA-1024, что приводит к блокировке доступа к ним. HarpoonLocker присваивает .locked расширение, присуще многими другими вирусами-вымогателями. Поэтому оно входит в группу общих расширений, из-за чего может быть трудно отличить вирус от других подобных инфекций. Он также создает текстовую заметку (restore-files.txt) с инструкциями по выкупу. Разработчики говорят, что все данные были зашифрованы и просочились на их серверы. Единственный способ исправить это и безопасно вернуть файлы - согласиться на уплату выкупа. Жертвам предлагается скачать мессенджер qTOX и там связаться с вымогателями. Также есть возможность попробовать расшифровать 3 заблокированных файла бесплатно. Это гарантия, которую дают киберпреступники, чтобы доказать, что им можно доверять. К сожалению, кроме qTOX нет других контактов, которые жертвы могли бы использовать для обсуждения с киберпреступниками. Многие кибер-исследователи шутили, что HarpoonLocker также следует называть Безымянной программой-вымогателем qTOX, поскольку жертвам не с кем разговаривать. По этой и многим другим причинам настоятельно не рекомендуется выполнять перечисленные требования и платить выкуп. Довольно часто киберпреступники обманывают своих жертв и не присылают никаких средств дешифрования даже после получения денег.

Впервые обнаруженный и исследованный независимым экспертом по имени S!R!, NoCry это вирус-вымогатель, который шифрует личные данные пользователей. Это очень популярная схема, используемая разработчиками программ-шифровальщиков в целях вымогательства денег у жертв после успешной блокировки данных. На данный момент известны две версии NoCry, отличающиеся расширениями, которые присваиваются заблокированным данным. .Cry or .IHA расширения, которые будут добавлены к зашифрованным файлам. К примеру, 1.pdf изменится на 1.pdf.Cry or 1.pdf.IHA и сбросит свой ярлык после заражения вредоносным ПО. Мошенники, стоящие за NoCry Ransomware, требуют оплату за возврат данных. Эта информация написана в HTML-файле под названием How To Decrypt My Files.html. Он также принудительно открывает всплывающее окно, с которым жертвы могут взаимодействовать, чтобы отправить выкуп и расшифровать свои данные. Содержимое обоих идентично и сообщает жертвам об одном и том же. NoCry дает около 72 часов на отправку 100 $ в BTC на прикрепленный крипто-адрес. Если в отведенный срок деньги не поступят, NoCry удалит ваши файлы навсегда. Это уловка устрашения, предназначенная для того, чтобы поторопить жертв и быстрее заплатить требуемый выкуп.

Выкуп сейчас - еще один вирус-шифровальщик файлов, выпущенный киберпреступниками для вымогательства денег у отчаявшихся жертв. Он очень похож на уже рассмотренный Программа-вымогатель Polaris поскольку он использует тот же шаблон шифрования с алгоритмами AES и RSA. Еще одно сходство между этими атаками программ-вымогателей заключается в том, что они не прикрепляют никаких новых расширений к зашифрованным данным. Несмотря на то, что файлы не претерпевают значительных визуальных изменений, пользователи по-прежнему не смогут их открыть. Вирус также создает текстовый файл с именем ПРОЧИТАЙТЕ, ЧТОБЫ РАЗБЛОКИРОВАТЬ FILES.txt с инструкциями по расшифровке. Разработчики говорят, что жертвы могут восстановить данные, только купив специальный ключ. Цена, которую нужно заплатить, составляет 0.0044 BTC, что составляет примерно 250 долларов на момент написания этой статьи. Имейте в виду, что курсы криптовалют всегда меняются, поэтому есть вероятность, что вам придется заплатить больше или меньше даже завтра. После отправки необходимой суммы BTC пользователи должны доставить подтверждение транзакции на прикрепленный адрес электронной почты (ransomnow@yandex.ru). В дополнение к этому мошенники перечисляют несколько ресурсов, где можно купить необходимую криптовалюту, если вы новичок в мире криптовалют. Также настоятельно рекомендуется не запускать манипуляции с файлами самостоятельно или с помощью сторонних инструментов.

Обнаруженный командой MalwareHunterTeam, AnarchyGrabber это вирус, нацеленный на пользователей Discord . Он изменяет index.js файл внутри каталога Discord (%AppData%\Discord\[version]\modules\discord_desktop_core\) для того, чтобы украсть ваши данные. Изменяя внутренний код исходного файла, злоумышленники могут загружать вредоносные файлы в формате JavaScript. Этот файл должен содержать всего одну строку: module.exports = require('./core.asar');. Остальное исходит от трояна. Чтобы избавиться от этого вируса, удалите Discord, затем проверьте наличие каталога %AppData%\Roaming\discord (если он существует, удалите его), а затем переустановите клиент. Если это не поможет, следуйте инструкциям из нашего руководства ниже. Когда пользователи входят в свою учетную запись Discord, мошенники получают доступ к вашим контактам, учетной записи, серверам, сообщениям и другому контенту в Discord. Чаще всего обнаружить AnarchyGrabber довольно сложно, поскольку он скрывает свою деятельность под видом Discord файлов, что позволяет обходить защиту антивирусного ПО. Если у вас не получается удалить вирус самостоятельно, мы поможем вам в этом ниже.

Без кофеина классифицируется как программа-вымогатель, предназначенная для шантажа жертв, вынуждающих их заплатить деньги за восстановление заблокированных данных. Его первые атаки были зарегистрированы в начале ноября 2021 года и продолжаются для нескольких пользователей. Вирус использует собственное расширение под названием .без кофеина который назначается при шифровании. Пример того, как должны выглядеть зашифрованные файлы после шифрования, - это «1.pdf.decaf». Моргнуть заражением невозможно, потому что все файлы и значки также теряют доступность. После успешной установки криптографических шифров Decaf создает текстовую заметку с именем README.txt который содержит информацию о том, как восстановить ваши данные. Киберпреступники заявляют, что все данные серверов и ПК зашифрованы с помощью надежных алгоритмов, предотвращающих любое стороннее дешифрование. Единственно возможный способ восстановить доступ ко всем данным - использовать специальный «универсальный» дешифратор, хранящийся у вымогателей. Чтобы получить дальнейшие инструкции по расшифровке, жертвам следует написать на прикрепленный адрес электронной почты (22eb687475f2c5ca30b@protonmail.com). Оттуда, вероятно, будут проинформированы о цене программного обеспечения для дешифрования и способах его получения. Как правило, киберпреступники просят своих жертв отправлять различные суммы денег в некоторой криптовалюте на их кошельки. Диапазон может колебаться от сотен до тысяч долларов за восстановление данных.

Polaris это программа-вымогатель, использующая комбинацию алгоритмов AES и RSA для шифрования данных пользователей. В отличие от других заражений этого типа, Polaris не добавляет никаких расширений к зашифрованным файлам. Единственное, что изменилось, - это доступ к файлам - жертвы больше не имеют права открывать сохраненные данные. Чтобы решить эту проблему, разработчики Polaris рекомендуют своим жертвам прочитать инструкции по восстановлению в файле с именем ПРЕДУПРЕЖДЕНИЕ.txt. Текстовая заметка создается в конце шифрования и говорит, что вам следует связываться с вымогателями по электронной почте (pol.aris@opentrash.com or pol.aris@tutanota.com). Вместо этого есть возможность добавить киберпреступников в Discord. При написании сообщения жертвы должны указать название компании, подвергшейся нападению. Это признак того, что Polaris нацелен на бизнес-сети, чтобы они могли позволить себе заплатить требуемый выкуп. Самый распространенный совет, который вы можете увидеть в Интернете относительно выплат выкупа, - избегать их. Это правда, потому что многие киберпреступники, как правило, обманывают своих жертв и в конечном итоге не присылают никаких средств дешифрования.