Вирусы

RansomHub Ransomware это тип вредоносного программного обеспечения, подпадающий под категорию вирусов, шифрующих файлы. Он предназначен для проникновения в компьютерные системы, шифрования файлов и требования выкупа за ключ дешифрования. В отличие от традиционных программ-вымогателей, которые шифруют файлы и требуют оплаты, RansomHouse, связанный с RansomHub, фокусируется на взломе сетей через уязвимости с целью кражи данных и принуждения жертв платить без обязательного использования шифрования. Программа-вымогатель RansomHub может добавлять к зашифрованным файлам различные расширения, такие как .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky или расширение длиной 6–7, состоящее из случайных символов. Конкретные алгоритмы шифрования, используемые RansomHub, не подробно описаны, но программы-вымогатели обычно используют надежные методы шифрования, такие как AES или RSA, для предотвращения несанкционированного дешифрования. RansomHub создает заметки о выкупе с инструкциями для жертв о том, как заплатить выкуп и, возможно, восстановить свои файлы. Общие имена файлов записок о выкупе включают: README_{случайная строка}.txtи различные другие. Записка о выкупе обычно находится в каталогах с зашифрованными файлами.

BlackLegion Ransomware — это тип вредоносного программного обеспечения, предназначенный для шифрования файлов на компьютере жертвы, делая их недоступными, а затем требуя выкуп за ключ дешифрования. После установки на компьютер BlackLegion шифрует файлы и добавляет к именам файлов уникальное расширение. Любые файлы, зашифрованные с помощью BlackLegion Ransomware, будут иметь случайные 8 символов, за которыми следуют адрес электронной почты жертвы и .BlackLegion расширение. Например, файл с именем photo.jpg может быть переименован в photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion после шифрования. BlackLegion создает требование выкупа в виде текстового файла, обычно называемого DecryptNote.txt или его вариант. Эта записка содержит инструкции о том, как заплатить выкуп, обычно в криптовалюте, и может предлагать бесплатную расшифровку одного файла в качестве доказательства того, что злоумышленники могут восстановить файлы жертвы.

Программа-вымогатель WantToCry — это тип вируса-шифровальщика, который представляет собой подмножество вредоносного ПО, которое шифрует файлы на компьютере жертвы и требует выкуп за ключ дешифрования. Этот конкретный шифратор предназначен для устройств NAS. Программа-вымогатель WantToCry добавляет .want_to_cry расширение файлов, которые он шифрует. Это четко указывает, какие файлы были скомпрометированы и недоступны без ключа расшифровки. Хотя конкретный метод шифрования, используемый WantToCry, не подробно описан в предоставленном источнике, программы-вымогатели обычно используют надежные алгоритмы шифрования, такие как AES (расширенный стандарт шифрования) или RSA (Ривест-Шамир-Адлеман), чтобы блокировать файлы, что делает их недоступными без уникального ключа расшифровки. . Это криптовирус, который блокирует файлы и вынуждает жертв платить за восстановление доступа к своим данным. WantToCry создает записку с требованием выкупа под названием !want_to_cry.txt который остался на компьютере жертвы. Эта записка информирует жертву о том, что ее данные зашифрованы, и содержит инструкции о том, как заплатить выкуп, который установлен в размере 300 долларов США. Жертвам предлагается скачать и установить qTOX, создать профиль и связаться с киберпреступниками через чат qTOX для организации оплаты.

Mallox Ransomware, также известная как «TargetCompany» или «Fargo», представляет собой вредоносное программное обеспечение, которое шифрует файлы на компьютере жертвы и требует выкуп за ключ дешифрования. Он активен с середины 2021 года и работает по модели «Программы-вымогатели как услуга» (RaaS), используя подпольные форумы и рынки для набора филиалов и рекламы своих услуг. Mallox шифрует файлы с использованием алгоритма шифрования ChaCha20 и добавляет к зашифрованным файлам различные расширения, например: .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx и другие. В некоторых случаях в качестве расширения также используются имена жертв. Программа-вымогатель оставляет записку о выкупе (HOW TO RESTORE FILES.txt) в каждом каталоге на диске жертвы, объясняя причину заражения и предоставляя контактную информацию злоумышленников. В записке жертвам предлагается отправить свой личный идентификатор на адрес электронной почты злоумышленников, чтобы получить инструкции по оплате инструмента расшифровки.

Press Ransomware — это тип вредоносного ПО, подпадающего под категорию программ-вымогателей, предназначенных для шифрования данных на зараженных компьютерах, что делает файлы недоступными для пользователей. Затем злоумышленники требуют выкуп в обмен на ключ дешифрования, который позволит жертвам восстановить доступ к своим зашифрованным файлам. После шифрования файлов Press Ransomware добавляет .press, .dwarf or .spfre расширения к именам файлов, что делает их легко идентифицируемыми. Например, файл с первоначальным названием 1.jpg будет переименован в 1.jpg.press после шифрования. Конкретный алгоритм шифрования, используемый Press Ransomware, не подробно описан в предоставленных результатах поиска, но такие вредоносные программы обычно используют надежные методы шифрования, такие как AES или RSA, для предотвращения несанкционированного дешифрования. После завершения процесса шифрования Press Ransomware отправляет записку о выкупе с именем RECOVERY NFO.txt на компьютере жертвы. Эта заметка информирует жертву о том, что ее файлы были зашифрованы, а конфиденциальные данные были похищены. Злоумышленники угрожают продать или слить украденный контент в сеть, если выкуп не будет выплачен. Записка также предлагает жертве возможность отправить злоумышленникам пару зашифрованных файлов для бесплатной расшифровки в качестве доказательства того, что они могут их расшифровать.

DiskStation Security Ransomware — это тип вредоносного ПО, специально нацеленный на устройства Synology NAS (сетевое хранилище), которые часто используются для хранения больших объемов данных, включая резервные копии и личные файлы. Основная цель этого вымогателя, как и других, — зашифровать файлы в зараженной системе и потребовать от жертвы выкуп в обмен на ключ дешифрования. Расширения файлов, на которые нацелена программа-вымогатель DiskStation Security, не указаны в предоставленных результатах поиска. Однако программы-вымогатели обычно нацелены на широкий спектр типов файлов, особенно на те, которые связаны с важными документами, изображениями, видео и базами данных. Используемый метод шифрования также не указан, но программы-вымогатели обычно используют AES (расширенный стандарт шифрования) из-за его надежности. После шифрования программа-вымогатель добавляет к файлам случайное расширение. После успешного шифрования файлов программа-вымогатель обычно оставляет записку с требованием выкупа (!!Read Me!!.txt) на рабочем столе или в затронутых каталогах. Эта записка содержит инструкции для жертвы о том, как заплатить выкуп, и часто включает угрозы уничтожения или раскрытия данных, если требования не будут выполнены.

RCRU64 Ransomware — это тип вредоносного ПО, которое шифрует файлы на компьютере жертвы и требует выкуп за ключ дешифрования. В основном он распространяется через вложения электронной почты при фишинговых атаках, загрузке вредоносного программного обеспечения и использовании уязвимостей, особенно через слабые пароли протокола удаленного рабочего стола (RDP). RCRU64 изменяет имена зашифрованных файлов, добавляя идентификатор жертвы, адрес электронной почты и определенное расширение. Известные расширения, связанные с RCRU64, включают: .HM8 и другие варианты, такие как «.TGH», «.03rK», «.q6BH» и «.IalG». Программа-вымогатель использует надежные алгоритмы шифрования для блокировки файлов на зараженном компьютере. Хотя конкретные сведения о методе шифрования не указаны в В результатах поиска программы-вымогатели обычно используют комбинацию симметричного (например, AES) и асимметричного (например, RSA) шифрования для защиты файлов, что делает расшифровку без ключа практически невозможной. Restore_Your_Files.txt и ReadMe.hta, которые информируют жертв о том, что их файлы зашифрованы, и предоставляют инструкции по оплате. В примечаниях предостерегается от попыток расшифровать файлы самостоятельно и предлагается расшифровать несколько файлов в качестве доказательства перед осуществлением оплаты.

Proton это инфекция-вымогатель. Цель этого вируса — запустить шифрование потенциально важных фрагментов данных, а затем потребовать деньги за их полную расшифровку. При этом Proton также изменяет файлы визуально — затронутый файл с возможностью получения kigatsu@tutanota.com адрес электронной почты, идентификатор жертвы и .Proton or .kigatsu расширение для зашифрованных файлов. Например, такой файл 1.pdf будет выглядеть примерно так 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. После этого изменения жертвы больше не смогут получить доступ к своим файлам, независимо от того, какие изменения были внесены. После этого вирус сбрасывает README.txt текстовую заметку, содержащая инструкции по расшифровке. Сообщается, что данные жертвы были зашифрованы (с использованием алгоритмов AES и ECC) и украдены киберпреступниками. Слово «украденный», вероятно, предполагает, что зашифрованные данные были скопированы на серверы киберпреступников и могут быть использованы в любое время, если не будет уплачен выкуп. Злоумышленники призывают своих жертв связаться с ними через Telegram или по электронной почте и приобрести услугу расшифровки. Кроме того, жертвам также разрешается отправить один файл (менее 1 МБ) и бесплатно его расшифровать. Таким образом, киберпреступники демонстрируют свою благонадежность, а также возможность вернуть доступ к заблокированным данным. В конце сообщения о выкупе вымогатели приводят несколько предупреждений относительно рисков, связанных с попытками расшифровки файлов без помощи разработчиков программ-вымогателей.