Вирусы

Программа-вымогатель WantToCry — это тип вируса-шифровальщика, который представляет собой подмножество вредоносного ПО, которое шифрует файлы на компьютере жертвы и требует выкуп за ключ дешифрования. Этот конкретный шифратор предназначен для устройств NAS. Программа-вымогатель WantToCry добавляет .want_to_cry расширение файлов, которые он шифрует. Это четко указывает, какие файлы были скомпрометированы и недоступны без ключа расшифровки. Хотя конкретный метод шифрования, используемый WantToCry, не подробно описан в предоставленном источнике, программы-вымогатели обычно используют надежные алгоритмы шифрования, такие как AES (расширенный стандарт шифрования) или RSA (Ривест-Шамир-Адлеман), чтобы блокировать файлы, что делает их недоступными без уникального ключа расшифровки. . Это криптовирус, который блокирует файлы и вынуждает жертв платить за восстановление доступа к своим данным. WantToCry создает записку с требованием выкупа под названием !want_to_cry.txt который остался на компьютере жертвы. Эта записка информирует жертву о том, что ее данные зашифрованы, и содержит инструкции о том, как заплатить выкуп, который установлен в размере 300 долларов США. Жертвам предлагается скачать и установить qTOX, создать профиль и связаться с киберпреступниками через чат qTOX для организации оплаты.

Mallox Ransomware, также известная как «TargetCompany» или «Fargo», представляет собой вредоносное программное обеспечение, которое шифрует файлы на компьютере жертвы и требует выкуп за ключ дешифрования. Он активен с середины 2021 года и работает по модели «Программы-вымогатели как услуга» (RaaS), используя подпольные форумы и рынки для набора филиалов и рекламы своих услуг. Mallox шифрует файлы с использованием алгоритма шифрования ChaCha20 и добавляет к зашифрованным файлам различные расширения, например: .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx и другие. В некоторых случаях в качестве расширения также используются имена жертв. Программа-вымогатель оставляет записку о выкупе (HOW TO RESTORE FILES.txt) в каждом каталоге на диске жертвы, объясняя причину заражения и предоставляя контактную информацию злоумышленников. В записке жертвам предлагается отправить свой личный идентификатор на адрес электронной почты злоумышленников, чтобы получить инструкции по оплате инструмента расшифровки.

Press Ransomware — это тип вредоносного ПО, подпадающего под категорию программ-вымогателей, предназначенных для шифрования данных на зараженных компьютерах, что делает файлы недоступными для пользователей. Затем злоумышленники требуют выкуп в обмен на ключ дешифрования, который позволит жертвам восстановить доступ к своим зашифрованным файлам. После шифрования файлов Press Ransomware добавляет .press, .dwarf or .spfre расширения к именам файлов, что делает их легко идентифицируемыми. Например, файл с первоначальным названием 1.jpg будет переименован в 1.jpg.press после шифрования. Конкретный алгоритм шифрования, используемый Press Ransomware, не подробно описан в предоставленных результатах поиска, но такие вредоносные программы обычно используют надежные методы шифрования, такие как AES или RSA, для предотвращения несанкционированного дешифрования. После завершения процесса шифрования Press Ransomware отправляет записку о выкупе с именем RECOVERY NFO.txt на компьютере жертвы. Эта заметка информирует жертву о том, что ее файлы были зашифрованы, а конфиденциальные данные были похищены. Злоумышленники угрожают продать или слить украденный контент в сеть, если выкуп не будет выплачен. Записка также предлагает жертве возможность отправить злоумышленникам пару зашифрованных файлов для бесплатной расшифровки в качестве доказательства того, что они могут их расшифровать.

DiskStation Security Ransomware — это тип вредоносного ПО, специально нацеленный на устройства Synology NAS (сетевое хранилище), которые часто используются для хранения больших объемов данных, включая резервные копии и личные файлы. Основная цель этого вымогателя, как и других, — зашифровать файлы в зараженной системе и потребовать от жертвы выкуп в обмен на ключ дешифрования. Расширения файлов, на которые нацелена программа-вымогатель DiskStation Security, не указаны в предоставленных результатах поиска. Однако программы-вымогатели обычно нацелены на широкий спектр типов файлов, особенно на те, которые связаны с важными документами, изображениями, видео и базами данных. Используемый метод шифрования также не указан, но программы-вымогатели обычно используют AES (расширенный стандарт шифрования) из-за его надежности. После шифрования программа-вымогатель добавляет к файлам случайное расширение. После успешного шифрования файлов программа-вымогатель обычно оставляет записку с требованием выкупа (!!Read Me!!.txt) на рабочем столе или в затронутых каталогах. Эта записка содержит инструкции для жертвы о том, как заплатить выкуп, и часто включает угрозы уничтожения или раскрытия данных, если требования не будут выполнены.

RCRU64 Ransomware — это тип вредоносного ПО, которое шифрует файлы на компьютере жертвы и требует выкуп за ключ дешифрования. В основном он распространяется через вложения электронной почты при фишинговых атаках, загрузке вредоносного программного обеспечения и использовании уязвимостей, особенно через слабые пароли протокола удаленного рабочего стола (RDP). RCRU64 изменяет имена зашифрованных файлов, добавляя идентификатор жертвы, адрес электронной почты и определенное расширение. Известные расширения, связанные с RCRU64, включают: .HM8 и другие варианты, такие как «.TGH», «.03rK», «.q6BH» и «.IalG». Программа-вымогатель использует надежные алгоритмы шифрования для блокировки файлов на зараженном компьютере. Хотя конкретные сведения о методе шифрования не указаны в В результатах поиска программы-вымогатели обычно используют комбинацию симметричного (например, AES) и асимметричного (например, RSA) шифрования для защиты файлов, что делает расшифровку без ключа практически невозможной. Restore_Your_Files.txt и ReadMe.hta, которые информируют жертв о том, что их файлы зашифрованы, и предоставляют инструкции по оплате. В примечаниях предостерегается от попыток расшифровать файлы самостоятельно и предлагается расшифровать несколько файлов в качестве доказательства перед осуществлением оплаты.

Proton это инфекция-вымогатель. Цель этого вируса — запустить шифрование потенциально важных фрагментов данных, а затем потребовать деньги за их полную расшифровку. При этом Proton также изменяет файлы визуально — затронутый файл с возможностью получения kigatsu@tutanota.com адрес электронной почты, идентификатор жертвы и .Proton or .kigatsu расширение для зашифрованных файлов. Например, такой файл 1.pdf будет выглядеть примерно так 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. После этого изменения жертвы больше не смогут получить доступ к своим файлам, независимо от того, какие изменения были внесены. После этого вирус сбрасывает README.txt текстовую заметку, содержащая инструкции по расшифровке. Сообщается, что данные жертвы были зашифрованы (с использованием алгоритмов AES и ECC) и украдены киберпреступниками. Слово «украденный», вероятно, предполагает, что зашифрованные данные были скопированы на серверы киберпреступников и могут быть использованы в любое время, если не будет уплачен выкуп. Злоумышленники призывают своих жертв связаться с ними через Telegram или по электронной почте и приобрести услугу расшифровки. Кроме того, жертвам также разрешается отправить один файл (менее 1 МБ) и бесплатно его расшифровать. Таким образом, киберпреступники демонстрируют свою благонадежность, а также возможность вернуть доступ к заблокированным данным. В конце сообщения о выкупе вымогатели приводят несколько предупреждений относительно рисков, связанных с попытками расшифровки файлов без помощи разработчиков программ-вымогателей.

Reload Ransomware — это форма вредоносного ПО, которое нацелено на отдельных лиц и организации, шифруя их файлы и требуя выкуп за ключи дешифрования. Это часть Makop Ransomware семейства. Записка о выкупе обычно начинается с заявления о том, что все файлы были зашифрованы и теперь имеют .reload расширение. Программа-вымогатель использует надежные алгоритмы шифрования для блокировки файлов, что делает их недоступными без соответствующего ключа дешифрования. Конкретный тип шифрования, используемый Reload Ransomware, явно не упоминается в предоставленных источниках, но программы-вымогатели обычно используют шифрование AES (расширенный стандарт шифрования) или RSA, которые обладают высокой степенью безопасности и их трудно взломать без уникального ключа расшифровки. Записка о выкупе, созданная Reload Ransomware, обычно представляет собой текстовый файл (+README-WARNING+.txt), который помещается в папки, содержащие зашифрованные файлы. В этой записке четко указано, что файлы были зашифрованы, и приведены инструкции о том, как заплатить выкуп за восстановление файлов. В примечании могут быть указаны такие подробности, как требуемая сумма выкупа, обычно в криптовалюте, такой как биткойн, для обеспечения анонимности транзакции.

Win32/FakeSysDef, также известная как Trojan:Win32/FakeSysdef, представляет собой тип вредоносного ПО, классифицируемого как троян. Впервые он был задокументирован в конце 2010 года и предназначен для операционной системы Microsoft Windows. Это вредоносное программное обеспечение маскируется под законный инструмент дефрагментации системы, утверждая, что оно сканирует аппаратные сбои, связанные с системной памятью, жесткими дисками и общей производительностью системы. Однако его настоящая цель — обмануть пользователей, заставив их поверить в то, что их система полна ошибок и аппаратных проблем. Троянец вносит в систему масштабные изменения, которые могут включать изменение настроек Internet Explorer, изменение обоев рабочего стола, скрытие ссылок на рабочий стол и меню «Пуск», отключение диспетчера задач Windows и установку типов файлов с низким уровнем риска. Во время установки он может завершить запущенные процессы и принудительно перезапустить их, а затем попытаться заблокировать каждую запущенную программу, отображая ложные сообщения об ошибках и предлагая пользователю приобрести поддельное программное обеспечение для устранения проблем. Симптомы заражения Win32/FakeSysDef весьма заметны. Пользователи увидят многочисленные ложные оповещения, указывающие на системные ошибки и появление сканирования системы. Вредоносная программа предлагает пользователю купить и активировать несуществующий «Расширенный модуль» для исправления обнаруженных ошибок. Если пользователь соглашается совершить покупку, ему предлагается предоставить информацию о кредитной карте либо через форму в приложении, либо путем перенаправления на веб-сайт.