Вирусы

Также известный под названием Процесс выполнения клиентской службы, Csrss.exe - это законный системный процесс, необходимый для работоспособности Windows. Его можно найти работающим вместе с другими фоновыми процессами в диспетчере задач. Собственное расположение Csrss.exe всегда имеет корневой каталог. C:\Windows\System32\. Если вы обнаружите его в других каталогах, скорее всего, это вирусная инфекция, замаскированная под законный процесс. Киберпреступники используют имена процессов Windows, чтобы скрыть трояны или подобное программное обеспечение. Поступая таким образом, они также скрывают алгоритмы сканирования антивирусного программного обеспечения, которое иногда изо всех сил пытается определить его как вредоносное ПО. Несмотря на это, определить, является ли этот процесс вредоносным или нет, довольно просто. Вы можете найти его в списке фоновых процессов в диспетчере задач, щелкните его правой кнопкой мыши и выберите «Открыть расположение файла», чтобы увидеть, где он находится. Если вы подозреваете, что это действительно вирус, обязательно следуйте нашим рекомендациям ниже. Известно, что процесс Csrss.exe используется разработчиками вредоносных программ для сокрытия вредоносного ПО, которое крадет личные данные, а также запускает установку других программ. Вот почему необходимо удалить его как можно скорее, прежде чем он нанесет серьезный ущерб конфиденциальности.

MME это вирус-вымогатель, который шифруют данных и просит деньги у жертв за их возврат. Вирус использует собственное расширение (.MME), чтобы выделить заблокированные данные и помочь пользователям заметить их шифрование. К примеру, ранее нетронутый файл 1.pdf изменится на 1.pdf.MME и сбросить исходный значок после успешного шифрования. В результате этого изменения жертвы больше не смогут получить доступ к файлу. Чтобы исправить это и вернуться к обычному использованию файлов, киберпреступники предлагают выбрать платное решение - купить специальное программное обеспечение для дешифрования, которое вернет ваши данные. Инструкции по выполнению перечислены в текстовой заметке с названием Read_Me.txt , которая создается одновременно с шифрованием. Вы можете ознакомиться с ее подробным содержанием ниже:

AbstractEmu - это Android-вирус с высокой степенью риска, обнаруженный в 7 приложениях, доступных в законных магазинах Android-приложений. После успешной установки и взаимодействия с одним из этих приложений скрытая вредоносная программа AbstractEmu коренит весь смартфон, чтобы предоставить себе привилегированные права в системе. Для этого не требуется никакого удаленного управления - активация вредоносного ПО происходит сразу же, как только люди начинают использовать приложение. Таким образом, AbstractEmu получит доступ ко всему, что присутствует внутри устройства. Вирус сможет действовать по своему назначению, выполняя различные действия на скомпрометированной системе. Это означает, что разработчики AbstractEmu могут манипулировать вашим смартфоном, как им заблагорассудится - например, собирать конфиденциальные данные, открывать приложения, читать личные чаты, контролировать вашу переднюю камеру или даже устанавливать дополнительные вредоносные программы. Такие возможности вируса очень похожи на то, что мы видели у шпионского ПО FluBot - уже обсуждалось в нашем блоге. В число платформ, распространяющих приложения, связанные с AbstractEmu, входили Google Play, Amazon Appstore, Samsung Galaxy Store, Aptoide и даже APKPure.

BLUE LOCKER - это опасный вирус, классифицирующийся как программа-вымогатель. Его основная цель - вымогательство денег у жертв после успешного шифрования личных данных. Он присваивает новое .blue расширение и выдает текстовую заметку под названием restore_file.txt чтобы посвятить жертв в процесс восстановления данных. Это значит, что файл вроде 1.pdf изменится на 1.pdf.blue и сбросить его исходный значок. Текст внутри заметки похож на другие случаи заражения программами-вымогателями. Говорят, что все файлы были зашифрованы, резервные копии удалены, скопированы на сервер киберпреступников. Чтобы устранить повреждение и вернуться к нормальной работе с полностью функционирующими файлами, жертвам следует купить универсальный дешифратор, принадлежащий разработчикам вредоносных программ. Если вы решите игнорировать запросы киберпреступников, они начнут сбрасывать ваши файлы на темные веб-ресурсы. При обращении к разработчикам по поводу расшифровки предлагается прислать 1 файл, чтобы они могли разблокировать его бесплатно. Связь между жертвами и киберпреступниками должна быть установлена ​​по электронной почте (grepmord@protonmail.com). Связавшись с ними, жертвы получат дальнейшие инструкции о том, как заплатить и приобрести программное обеспечение для дешифрования.

Будучи разработанным в Италии, Giuliano представляет собой программу-вымогатель, созданную с использованием надежных криптографических алгоритмов (AES-256) для безопасного шифрования данных. Блокируя доступ к личным файлам, вымогатели пытаются обманом заставить жертв заплатить деньги за расшифровку данных. Жертвы могут обнаружить, что их файлы были зашифрованы, просто взглянув на расширение - вирус добавляет новое расширение «.Giuliano», чтобы выделить заблокированные данные. Это означает, что файл вроде 1.pdf изменится на 1.pdf.Giuliano и сбросит свою исходную иконку. Информацию о восстановлении файлов можно найти в текстовой заметке под названием README.txt. Инструкции по расшифровке внутри этого файла представлены на итальянском языке. Киберпреступники информируют жертв об успешном заражении и побуждают их следовать перечисленным инструкциям. Они говорят, что вам следует посетить страницу GitHub, чтобы заполнить некоторые формы. После этого разработчики вредоносных программ, скорее всего, свяжутся со своими жертвами и попросят заплатить выкуп. Обычно требуется провести платеж в BTC или другой криптовалюте, используемой разработчиками. Увы, шифры, применяемые Giuliano Ransomware, надежны и плохо поддаются расшифровке с помощью сторонних инструментов. На данный момент лучший способ восстановить ваши файлы помимо сотрудничества с мошенниками - это использовать резервные копии.

Являясь опасным вирусом-вымогателем, Rook шифрует данные и старается заставить пользователей оплатить выкуп. Вирус легко отличить от других версий, поскольку каждому заблокированному файлу присваивается .rook расширение. Это означает, что файл вроде 1.pdf изменится на 1.pdf.rook и сбросит свой исходный значок после успешного шифрования. Сразу после этого Rook-шифровальщик создает текстовую заметку с именем HowToRestoreYourFiles.txt показывая пользователям, как они могут восстановить данные. В тексте заметки сказано, что восстановить доступ ко всем данным можно, только связавшись с мошенниками и заплатив денежный выкуп. Связь должна быть установлена ​​по электронной почте (rook@onionmail.org; securityRook@onionmail.org) или ссылку на браузер TOR, прикрепленную к заметке. При написании сообщения киберпреступникам предлагается отправить до 3 файлов (не более 1 Мб) и расшифровать их бесплатно. Таким образом киберпреступники в какой-то мере доказывают свои способности дешифрования и свою надежность. Кроме того, если вы обратитесь к вымогателям в течение указанных 3 дней, киберпреступники предоставят 50% скидку на расшифровку. Если вы не уложитесь в этот крайний срок, разработчики Rook начнут сливать ваши файлы в свою сеть, чтобы впоследствии злоупотреблять ими на страницах даркнета. Они также говорят, что никакие сторонние инструменты не помогут вам восстановить файлы.

HarpoonLocker - это название относительно нового вируса-вымогателя. Первая информация о нем появилась на форумах, посвященных вредоносному ПО. Вирус выполняет шифрование данных с помощью алгоритмов AES-256 и RSA-1024, что приводит к блокировке доступа к ним. HarpoonLocker присваивает .locked расширение, присуще многими другими вирусами-вымогателями. Поэтому оно входит в группу общих расширений, из-за чего может быть трудно отличить вирус от других подобных инфекций. Он также создает текстовую заметку (restore-files.txt) с инструкциями по выкупу. Разработчики говорят, что все данные были зашифрованы и просочились на их серверы. Единственный способ исправить это и безопасно вернуть файлы - согласиться на уплату выкупа. Жертвам предлагается скачать мессенджер qTOX и там связаться с вымогателями. Также есть возможность попробовать расшифровать 3 заблокированных файла бесплатно. Это гарантия, которую дают киберпреступники, чтобы доказать, что им можно доверять. К сожалению, кроме qTOX нет других контактов, которые жертвы могли бы использовать для обсуждения с киберпреступниками. Многие кибер-исследователи шутили, что HarpoonLocker также следует называть Безымянной программой-вымогателем qTOX, поскольку жертвам не с кем разговаривать. По этой и многим другим причинам настоятельно не рекомендуется выполнять перечисленные требования и платить выкуп. Довольно часто киберпреступники обманывают своих жертв и не присылают никаких средств дешифрования даже после получения денег.

Впервые обнаруженный и исследованный независимым экспертом по имени S!R!, NoCry это вирус-вымогатель, который шифрует личные данные пользователей. Это очень популярная схема, используемая разработчиками программ-шифровальщиков в целях вымогательства денег у жертв после успешной блокировки данных. На данный момент известны две версии NoCry, отличающиеся расширениями, которые присваиваются заблокированным данным. .Cry or .IHA расширения, которые будут добавлены к зашифрованным файлам. К примеру, 1.pdf изменится на 1.pdf.Cry or 1.pdf.IHA и сбросит свой ярлык после заражения вредоносным ПО. Мошенники, стоящие за NoCry Ransomware, требуют оплату за возврат данных. Эта информация написана в HTML-файле под названием How To Decrypt My Files.html. Он также принудительно открывает всплывающее окно, с которым жертвы могут взаимодействовать, чтобы отправить выкуп и расшифровать свои данные. Содержимое обоих идентично и сообщает жертвам об одном и том же. NoCry дает около 72 часов на отправку 100 $ в BTC на прикрепленный крипто-адрес. Если в отведенный срок деньги не поступят, NoCry удалит ваши файлы навсегда. Это уловка устрашения, предназначенная для того, чтобы поторопить жертв и быстрее заплатить требуемый выкуп.