Вирусы

FindNoteFile Это название вируса-вымогателя, который начал охоту на бизнес-пользователей в июне 2021 года. Как и другие вредоносные программы этого типа, разработчики используют алгоритмы AES + RSA для шифрования данных жертв. FindNoteFile был распространен в 3 различных версиях. Единственная большая разница между ними - это название расширения, присваиваемого файлам после шифрования (.findnotefile, .findthenotefileили .reddot). К примеру, файл 1.pdf изменится на 1.pdf.findnotefile, 1.pdf.findthenotefileили 1.pdf.reddot в зависимости от того, какая версия атаковала вашу систему. Затем, как только шифрование будет завершено, вирус создает текстовую заметку под названием HOW_TO_RECOVER_MY_FILES.txt, которая содержит инструкции по выкупу. Написанный внутри текст полон ошибок, однако понять, чего хотят киберпреступники от своих жертв, не так уж и сложно.

SLAM является вирусом-вымогателем, который шифрует личные данные и выманивает деньги у отчаявшихся пользователей. Иными словами, он ограничивает доступ к данным и держит их под замком до тех пор, пока жертвы не заплатят определенную сумму за непосредственно их выкуп. Чтобы пользователи заметили шифрование данных, разработчики переименовывают затронутые файлы, используя .slam . К примеру, такой файл, как 1.pdf будет переименован в 1.pdf.slam и сбросить исходный значок (в некоторых случаях). Затем, после завершения этой части шифрования, SLAM открывает окно с информацией о вирусе. Красный текст на черном фоне говорит о том, что все файлы зашифрованы. Чтобы вернуть их, жертв просят связаться с киберпреступниками, используя одно из электронных писем, прикрепленных к заметке. После этого вам будут даны необходимые инструкции по переводу выкупа деньгами. Кроме того, пользователей предупреждают, что выключение ПК или использование приложений Windows (например, regedit, диспетчера задач, командной строки и т. Д.) Запрещено. В противном случае ваш компьютер будет заблокирован и не сможет загрузиться до тех пор, пока не появится вирус. То же самое произойдет, если вы не обратитесь к вымогателям в течение 12 часов. На данном этапе расследования киберэксперты еще не смогли найти инструмент, который мог бы бесплатно расшифровать данные без привлечения киберпреступников. Уплата выкупа также представляет собой риск, поскольку нет гарантии, что вы получите свои файлы обратно. Единственный лучший способ в этой ситуации - удалить SLAM Ransomware и восстановить ваши данные с помощью резервных копий. Если у вас нет их, созданных и сохраненных в отдельном месте до заражения, то расшифровать ваши файлы практически нереально.

EpsilonRed - еще один вирус-вымогатель, нацеленный на личные данные в зараженных системах. Как только он находит необходимый диапазон данных (обычно это базы данных, статистика, документы и т. Д.), Вирус запускает шифрование данных с помощью алгоритмов AES + RSA. Весь процесс шифрования трудно обнаружить сразу, поскольку жертвы узнают о заражении только после того, как все файлы изменили свои имена. Чтобы проиллюстрировать это, давайте взглянем на файл с именем 1.pdf, который по итогу изменит свой внешний вид на 1.pdf.epsilonred. Такое изменение означает, что получить доступ к файлу больше невозможно. Помимо сбора конфиденциальных данных, также известно, что EpsilonRed изменяет расширение исполняемых и DLL файлов, что может так же приостановит их работу. Вирус также устанавливает ряд файлов, которые блокируют защитные механизмы, очищают журналы событий и влияют на другие функции Windows после проникновения инфекции в систему. В конце шифрования EpsilonRed предоставляет инструкции по выкупу, представленные в записке. Имя файла может отличаться у каждой жертвы, однако большинство пользователей сообщили о HOW_TO_RECOVER.EpsilonRed.txt и ransom_note.txt текстовых заметках, который создаются после шифрования.

Gpay известна как вредоносная программа, которая надежно шифрует хранящиеся данные с помощью алгоритмов AES-256, RSA-2048 и CHACHA. Киберпреступники монетизируют свое программное обеспечение, прося жертв заплатить деньги за расшифровку данных. Прежде чем это делать, жертвы сперва сталкиваются с внезапным изменением внешнего вида файлов. Все потому, что Gpay переименовывает все зашифрованные файлы с помощью .gpay . К примеру, такой файл, как 1.pdf изменится на 1.pdf.gpay после завершения шифрования. Заметив это изменение, жертвы также найдут файл под названием !!! HOW_TO_DECRYPT !!!. Mht во всех зараженных папках. Файл ведет на веб-страницу с инструкциями по выкупу. Говорят, что вы можете бесплатно отправить до 3 файлов, чтобы проверить их возможности дешифрования. Это можно сделать, отправив файлы с личным идентификатором на адреса электронной почты gsupp@jitjat.org и gdata@msgden.com. То же самое следует сделать, чтобы потребовать адрес платежа и приобрести инструменты дешифрования. Если вы не сделаете это в течение 72 часов, киберпреступники с большей вероятностью опубликуют захваченные данные на платформах, связанных с даркнетом. Вот почему попасть в ловушку Gpay крайне опасно, поскольку существует огромная угроза конфиденциальности. В зависимости от того, сколько будет стоить расшифровка данных, жертвы могут решить, нужно им это или нет.

Выпущенная MalwareHunterTeam, DarkSide это вредоносная программа, которая шифрует ценные данные для шантажа пользователей на деньги. Все связанные сети с данными, которые подверглись воздействию этого вируса, будут просканированы и заблокированы в конечном итоге. Как и другие подобные заражения, DarkSide добавляет уникальное расширение в конец каждого зашифрованного файла. Если быть точнее, он добавляет персональный идентификатор, который генерируется отдельно для каждой жертвы. К примеру, после шифрования вы заметите изменение такого файла, как 1.xlsx в 1.xlsx.d0ac7d95, или аналогичным образом, в зависимости от того, какой ID был присвоен жертве. Затем, как только этот процесс будет завершен, киберпреступники создают текстовую заметку с инструкциями по расшифровке (README. [Идентификатор_ жертвы] .TXT).

Разработанный Makop Ransomware семейства, Mammon опасный вирус, использующий шифрование данных для денежных целей. Это связано с тем, что он шифрует личные данные с помощью алгоритмов военного уровня и требует от жертв денежный выкуп. Чтобы показать, что ваши данные были ограничены, вымогатели добавляют строку символов к каждому имени файла (включая случайные символы, адрес электронной почты киберпреступников и .mammon расширения). К примеру, обычный файл вроде 1.pdf изменится на что-то вроде этого 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon. В результате этого изменения пользователи больше не смогут получить доступ к заблокированному файлу. Чтобы получить инструкции по восстановлению данных, киберпреступники создают текстовую заметку под названием readme-warning.txt в каждую папку с зашифрованными данными.

Будучи частью Phobos Ransomware семейства, Calvo - еще одна вредоносная программа, которая шифрует личные данные. Это делается с помощью алгоритмов военного уровня для шифрования файлов. Наряду с этим вирус также присваивает каждому файлу строку символов. Это включает в себя личные идентификаторы жертв, электронную почту киберпреступников и .calvo расширение на конце строки. К примеру, такой файл, как 1.pdf будет заражен и изменен на 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo. То же изменение произойдет и с остальными данными, хранящимися на ПК. Как только этот этап заражения подойдет к концу, Calvo создаст две записки с требованием о выкупе (info.hta и info.txt), чтобы показать инструкции по дешифрованию.

Разработанная Phobos семейства, XHAMSTER представляет собой заражение, похожее на программу-вымогатель, при которой выполняется шифрование данных. Он не выполняет одностороннее шифрование, вместо этого он предлагает разблокировать зараженные данные в обмен на денежный выкуп. Когда дело доходит до шифрования данных, киберпреступники обычно являются единственными фигурами, которые могут разблокировать ваши данные. Вот почему они предлагают купить свое программное обеспечение, которое поможет вам восстановить доступ к данным. Прежде чем углубляться в детали, важно упомянуть, как XHAMSTER шифрует ваши данные. Помимо блокировки доступа, он также добавляет строку символов, состоящую из идентификатора жертвы, имени пользователя ICQ Messenger и .XHAMSTER в конце каждого файла. К примеру, такой файл, как 1.pdf будет изменен на что-то вроде этого 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER по итогу шифрования. Наконец, как только этот процесс будет завершен, вирус создаст два файла, содержащих инструкции по выкупу. Один из них под названием info.hta отображается в виде окна прямо перед пользователями, а другой info.txt находится на рабочем столе жертвы.