Вирусы

Обнаруженный одним из исследователей вредоносного ПО под псевдонимом S!Ri, Artemis принадлежит к семейству программ-вымогателей PewPew. Эта мошенническая группировка распространяет множество вирусов, которые шифрует персональные данные. Artemis - одна из последних версий выпущенных крипто-блокировщиков, которая ограничивает доступ к большинству хранимых данных с помощью многоуровневых криптографических алгоритмов. Эти алгоритмы обеспечивают надежное шифрование данных, что не позволяет пользователям их открыть. Кроме того, зашифрованные файлы Artemis также изменяются и визуально. К примеру, файл 1.pdf изменится на что-то вроде 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis и сбросить исходный значок. Эта строка состоит из идентификатора жертвы, khalate@tutanota.com электронной почты и .artemis расширения в конце. Затем, как только шифрование подходит к концу, Artemis создает файл под названием info-decrypt.hta , который открывается на весь экран. Последние версии вредоносного ПО используют следующий шаблон ReadMe- [идентификатор_ жертвы] .txt для именования записки о выкупе и расширения .ultimate и .999 (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate и 1.pdf.id [идентификатор_ жертвы]. [restoreisscus@gmail.com] .999).

GoodMorning - это вредоносная программа, классифицируемая как вирус-вымогатель. Основная цель разработчиков - заработать деньги на жертвах, чьи данные зашифрованы надежными шифрами. Обычно жертвы узнают о заражении после того, как GoodMorning назначает файлам новое составное расширение (оканчивающееся на .GoodMorning, .LOCKED or .НАСТОЯЩИЙ). К примеру, 1.pdf и другие файлы, хранящиеся в системе, будут изменены в соответствии с этим шаблоном 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. Идентификатор внутри расширений будет отличаться индивидуально, так как он уникален для каждой из жертв. Затем, когда все файлы зашифрованы и визуально изменены, вирус создает текстовые заметки, называемые либо GoodMorning.txt, ReadIt.txt or ReadMe.txt. Она содержит инструкции о том, как восстановить ваши данные.

Pagar это программа-вымогатель, которая заражает системы Windows для шифрования личных данных. Это влияет на конфигурацию сохраненных файлов, делая их полностью недоступными. Это означает, что любые попытки открыть файлы будут отклонены из-за шифрования. Помимо изменений конфигурации, Pagar Ransomware также изменяет данные с помощью визуальных средств - назначая .pagar40br @ gmail.com расширение для каждого зашифрованного файла. К примеру, такой файл, как 1.pdf изменится на 1.pdf.pagar40br@gmail.com и сбросит свой исходный значок. После того, как доступ ко всем файлам будет ограничен, Pagar создаст записку с требованием о выкупе под названием Urgent Notice.txt, в котором объясняется, как восстановить данные. Разработчики программ-вымогателей говорят кратко и говорят, что у вас есть 72 часа, чтобы отправить 0.035 BTC на прикрепленный кошелек. Сразу после завершения платежа жертвы должны связаться с разработчиками через pagar40br@gmail.com, указав свой собственный адрес кошелька и уникальный идентификатор (указанный в примечании). К сожалению, нет никакой информации о том, можно ли доверять разработчикам Pagar.

Chaos - популярное семейство программ-вымогателей, распространяющее ряд версий вредоносных программ. После заражения большинство файлов, хранящихся в системе, перенастраиваются и становятся недоступными. Это делают киберпреступники, чтобы вымогать у жертв так называемый выкуп в обмен на разблокировку данных. На данный момент существует 4 самые популярные версии, распространяемые Chaos - Axiom, Teddy, Encrypted и AstraLocker Ransomware. Все 4 назначают собственный добавочный номер, блокируя доступ к данным. Например, файл типа 1.pdf может измениться на 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedили 1.pdf.astralocker в зависимости от того, какая версия атаковала вашу сеть. Изначально Chaos назывался Ryuk .Net Ransomware, но затем обновился и стал распространяться под новым названием. Более того, Ryuk.Net только имитировал шифрование с помощью алгоритмов AES + RSA, но фактически использовал кодирование Base64 для повреждения структуры файлов. Не исключено, что то же самое можно встретить и в более новых версиях. Также можно увидеть версию Chaos, добавляющую строку случайных символов в зашифрованные файлы - например, 1.pdf.us00, 1.pdf.wf1d, и так далее. Как только шифрование (или поддельное шифрование) подходит к концу, вирус создает текстовую заметку с инструкциями по восстановлению ваших данных. Вот названия, а также содержание каждой текстовой заметки, создаваемой разными версиями (README.txt, read_it.txt, READ_ME_NOW.txt.

Tohnichi является программой-вымогателем, которая изменяет расширения файлов после их шифрования. .tohnichi - имя нового расширения, которое присваивается каждому файлу. Это означает, что все зашифрованные файлы будут выглядеть примерно вот так 1.pdf.tohnichi после завершения шифрования. Последний шаг Tohnichi, - это How to decrypt files.txt, текстовый файл, созданный вредоносным ПО для объяснения инструкций по расшифровке. Прежде всего, сообщается, что ваша сеть была взломана, что позволило вымогателям зашифровать ваши данные. Затем киберпреступники говорят, что они единственные фигуры, способные выполнить безопасное и полное дешифрование данных. Для этого жертв просят установить связь, используя ссылку браузера Tor, и заплатить за программное обеспечение для дешифрования. Цена держится в секрете и зависит от того, как быстро вы свяжетесь с разработчиками. После завершения платежа разработчики обещают отправить уникальный инструмент дешифрования для восстановления данных. Кроме того, разработчики программ-вымогателей заявляют, что могут расшифровать несколько файлов (не содержащих ценной информации) перед тем, как заплатить выкуп бесплатно. Это действительно хорошее предложение, но все же недостаточное, чтобы доверять киберпреступникам на индивидуальной основе.

Zeppelin был обнаружен ГруяРС, который представляет собой вредоносную программу, которая заражает компьютеры и шифрует данные пользователя. Такие программы обычно предназначены для зарабатывания денег на отчаявшихся пользователях, у которых заблокированы файлы. Как обычно, с шифрованием происходит значительное изменение расширения файла - он переименовывает их, используя шестнадцатеричную систему счисления, примерно так 1.mp4.126-A9A-0E9. На самом деле расширение может отличаться символами, поскольку вирус может генерировать случайные значения. После завершения шифрования Zepellin создает текстовый файл с именем !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT на вашем рабочем столе. В этой заметке вымогатели оскорбляют вас с помощью выкупа, призывая вас связаться с ними и купить определенный ключ. К сожалению, на данный момент нет проверенного метода, который мог бы бесплатно расшифровать ваши данные. Единственный способ сделать это - следовать их инструкциям, что представляет собой огромный риск. Хотя решение лежит на ваших плечах, мы рекомендуем вам удалить Zeppelin Ransomware в приведенном ниже руководстве.

МОСН классифицируется как программа-вымогатель, занимающаяся вымогательством денег у жертв после шифрования данных. Обычно такие вирусы нацелены на все потенциально важные файлы, такие как фотографии, видео, документы, базы данных и т. д., которые представляют некоторую ценность для жертв. Шифрование данных можно заметить благодаря новым расширениям, которые назначаются каждому инфицированному файлу. К пример, файл с именем 1.pdf изменится на 1.pdf.MOSN в конце шифрования. То же самое произойдет и с другими данными. Затем, вскоре после этого, MOSN устанавливает новые обои на весь экран, где отображается краткое информация о дешифровке данных. Говорится, что жертвам следует связываться с разработчиками через walter1964@mail2tor.com адрес электронной почты и заплатить 300$ в биткойнах за выкуп данных. Кроме этого, MOSN Ransomware еще создает текстовый файл с именем INFORMATION_READ_ME.txt , который объясняет то же самое, но также упоминает количество зашифрованных файлов и уникальный идентификатор, который нужно прикрепить в письме мошенникам.

Divinity, Matafaka и Army - три вируса-вымогателя, выпущенные группой разработчиков, известной как Xorist. После успешного заражения вашей системы эти вирусы изменяют названия файлов, хранящихся в системе. В зависимости от того, какая версия атаковала ваш компьютер, любое изображение, видео, музыка или документ, такой как 1.pdf изменится на 1.pdf.divinity, 1.pdf.matafakaили 1.pdf.army. После визуального изменения каждого файла, все версии отображают текстовое сообщение во всплывающих окнах или блокнот файле (HOW TO DECRYPT FILES.txt). Текст отличается для каждой версии. Для иллюстрации: Матафака и Арми практически не предоставляют информации о расшифровке данных. Они упоминают, что ваш компьютер взломан, но не предоставляют никакой информации или инструкций по оплате для восстановления данных. Причина этого может заключаться в том, что эти версии все еще находятся в стадии разработки и тестирования. Не исключено, что в сети уже циркулируют полные версии с полноценными инструкциями. Divinity - единственная версия из списка, имеющая контактные данные для оплаты выкупа. Для этого пользователей просят написать прямое сообщение в @lulzed Telegram или @dissimilate в Twitter. Обратите внимание, что семейство Xorist Ransomware использует алгоритмы XOR и TEA для шифрования личных данных. Данные, зашифрованные такими шифрами, с меньшей вероятностью будут дешифрованы без участия киберпреступников. Несмотря на это, категорически не рекомендуется удовлетворять требования мошенничества с цифрами.