Virus ransomware Jigsaw. Uvedeno 48 variant. 2021 Aktualizace
JIGSAW RANSOMWARE je malware pro podávání souborů, který má více než 60 různých verzí. Pokud oběť neplatí výkupné, začíná pravidelně smazat uzamčené soubory. Proto je vyžadováno okamžité odstranění ransomwaru. Poté naskenujte systém pomocí příslušného optimalizačního nástroje, odstraňte jej hned teď
Informace o pokynech pro restora a odinstalace. Zkontrolujte prosím zásady Restoro Eula a ochrany osobních údajů. Skener Restoro a možnost opravy ruční je zdarma. Musí být zakoupena pokročilá verze.
Informace o pokynech Intego a odinstalace. Zkontrolujte prosím Intego Eula a zásady ochrany osobních údajů. Skener Intego a možnost opravy ruční je zdarma. Musí být zakoupena pokročilá verze.
Co je virus ransomwaru skládačky?
Ransomware Jigsaw je kousek malwaru, který lze distribuovat pomocí dalších hrozeb, jako jsou červi a trojské koně
Virus ransomware se neustále aktualizuje. Naštěstí je většina z jeho verzí dešiptabilní.
Ransomware Jigsaw je nebezpečný ransomware, který šifruje soubory pomocí šifrování AES a vyžaduje výkupné výměnou za údajný dešifrovací software. Virus používá četná rozšíření k označení šifrovaných souborů, kde jsou nejnovější.data.zábava.Yolo.BTC. Existuje však více než 65 verzí tohoto ransomwaru, který se šíří po celém světě.
Podle kybernetických odborníků v roce 2016 lidé za tímto virem skrývali 450 000 od Ransomů. V současné době má však tento kryptovirus nízkou detekci. Odborníci tvrdí, že hlavními cíli jsou německá, španělská, angličtina, francouzština, turečtina, portugalština a vietnamská uživatelé, kteří všichni dostávají výkupné poznámky přeložené do jejich jazyků.
Navzdory skutečnosti, že ransomware byl prasklý, jeho služba nebyla uzavřena. Podvodníci za tímto kmenem ho začali distribuovat přes Lokibot Trojan [1]. Kampaň byla zjištěna v dubnu 2020, kdy odborníci spatřili kampaň MALSPAM s infikovanými e.mailovými přílohami. Nejnovější použití varianta ransomwaru.Prodloužení souboru BTC a požaduje zaplatit výkupné 1499 v bitcoinech do 24 hodin. Toto bylo propuštěno v červenci 2020. Zdá se, že každých pár tvůrců můry uvolní nového člena rodiny do divočiny.
Ačkoli ransomware může být na chvíli snadno dešifrován, zůstává nebezpečný kvůli tendenci odstranit část šifrovaných souborů, pokud oběť neplatí výkupné ve vyhrazeném čase. Výkupné poznámky, které obsahují zprávy od tvůrců, tvrdí, že nejméně 1000 těchto souborů může být odstraněno „jako trest“. Proto je vyžadováno okamžité odstranění malwaru.
Důležité: Většina variant ransomware může být dešifrována pomocí bezplatného dešifrovače Jigsaw vyvinuté Michale Gillespie v roce 2016. Tento nástroj se pravidelně aktualizuje. Podle vývojářů je bezplatný dešifrovací software schopen odemknout všechny nejnovější typy souborů, včetně.Zemblax.jed.Hacked.podle.Snaiparul.LOCKEDGOOD.PleasCallqqfile.Black007.Choda.Virus knihy.
| Shrnutí hrozeb |
| Vykružovačka |
| Březen 2016 |
| Ransomware |
| Okna |
| Moi Petite.Exe, Oscarransomware.exe |
| Hlavní cíl. soubory osobních uživatelů uložené v systému. Šifruje soubory a později vyžaduje výkupné pro dešifrovací klíč. |
| Osobní soubory zamčené šifrované a označené.#### contact_us_pablukl0cker638yzhgr@2tor.com ####.## Encrypted_by_Pablukl0Cker ##.Fuckmedaddy.Cryptwalker.LOCKED_BY_PABLUKL0CKER.spravedlnost.uzamčený.KONTAKT-ME-HEER-FOR-THE KEY-ADMIN @ADSOLEWARE.comtest.BitConnect.Jes.E-mail- [PowerHacker03@hotmail.com].Koreagame.zábava.cibule.Lolsec.Booknish.platit.Paytounlock.Choda.coder007@protonMail.com.Black007.Tedcrypt ## _ Policja. _ Ten_plik_Zosta.data.Hacked.podle.Snaiparul.LOCKEDGOOD.PleasCallqq.jed.Yolo.BTC a podobná rozšíření. Nahrazení tapety na plochu je nahrazena. Ransom nota vytvořená na ploše. Zpomalení těžkého systému. Vysoká spotřeba CPU. |
| Škodlivé přílohy e.mailu, Lokibot Trojan |
| Angličtina, německá, francouzština, vietnamci, turečtina, španělština, korejština, portugalština |
| 150 USD |
| Virus lze odlišit od ostatních skutečností, že neustále eliminuje šifrované soubory, pokud oběť nezaplatí výkupné. Z tohoto důvodu nastavuje časovač na 24 hodin. |
| Ano. Bezplatný dešifrovací software je k dispozici na internetu zdarma. |
| Ransomware lze eliminovat pouze pomocí profesionálního antivirového programu. Protože AV motor může být blokován, restartujte PC do nouzového režimu pomocí sítí |
| Poškození virů lze opravit pomocí nástroje, jako je Restoro Intego. Po odstranění ransomwaru s ním spusťte úplné skenování. |
Nabízíme Restoro pro detekci poškozených souborů. Opravte je buď bezplatnou manuální opravou, nebo zakupte plnou verzi. Informace o restoro, odinstalaci, podmínkách a soukromí.
Nabízíme Intego pro detekci poškozených souborů. Opravte je buď bezplatnou manuální opravou, nebo zakupte plnou verzi. Informace o Intego, odinstalaci, podmínkách a soukromí.
Začátkem tohoto roku si virus skládačky zaznamenal připojený.Fuckmedaddy.LOCKED_BY_PABLUKL0CKER.spravedlnost a.# Rozšíření souborů. Dobrou zprávou je, že většina objevených verzí je zdarma dešiptatelná. Proto existuje šance získat zpět přístup k šifrovaným souborům, i když nemáte zálohy.
Jedna z variant nalezených na konci března 2018 byla zaměřena na uživatele korejských PC. Je známý pro připojení.E-mail- [PowerHacker03@hotmail.com].Rozšíření souboru koreagame.
Většina starších variant virů lze zdarma dešifrovat
Kromě vytváření nových verzí, které jsou zaměřeny na anglicky mluvící uživatele počítačů, začal Ransomware také používat německé, francouzsky [2]. Vietnamci a turecké jazyky. Nejnovější verze viru nalezená Michaelem Gillespie byla přeložena do španělského jazyka. Až dosud byla této skupině malwaru připsána následující rozšíření:
.dat.Tedcrypt.Booknish.zábava.Pabluk300crypt!Pablukcrypt.zabít.Korea.kkk.GWS.BTC.utišit.Paytounlock.Nemo-Hacks.na.Sigaint.org.UK-Dealer@Sigaint.org.Gefickt.duch.platit.Payms.Paymst.Porno.xyz.VersieGelt.šifrované.epické.Uzamčený.uzamčený.Contact_tarineoza@gmail.com_.TDELF.ztracený.R3K7M9.krysa.vykružovačka.Pabluklocker.pípnutí.Cryptwalker.Fuckmedaddy.LOCKED_BY_PABLUKL0CKER.spravedlnost.#.Bitconnect a.KONTAKT-ME-HEER-PRO-KEY-ADMIN@adsoleware.com.Jes.E-mail- [PowerHacker03@hotmail.com].Koreagame.zábava.Hac.Zemblax.
Jedna z verzí ransomwaru. Crypto-Hitman. Virus používá.Přípona souboru porno.
Přestože ransomware přecházel z jednoho rozšíření na druhé, vědci z malwaru se již podařilo rozbít kód a vytvořili dešifrovací software (na konci tohoto článku jej najdete). Check Point [3] byl první, kdo rozbil kód, a představil oběti volným dešifrátorem. Podle mluvčí společnosti:
Když uživatel stiskne ‘Provedl jsem platbu, teď mi vraťte své soubory!’Tlačítko, program HTTP získá žádost o: BTC.Blockr [.] IO/API/V1/Adresa/Balance/. To nás přimělo přemýšlet. co když změníme požadavek, takže dotazuje jiný účet? Snad ten, který drží nezbytné množství bitcoinů pro dešifrování našich souborů? Nebo ještě lépe- co když změníme odpověď a řekneme, že máme potřebnou částku?
Všimněte si, že výzkumníci ransomwaru pravidelně aktualizují dešifrovač Jigsaw. Obvykle oficiálně informují komunitu kybernetické bezpečnosti o dešiptoru aktualizované na šifrování konkrétní verze viru. To je nezbytné, protože zločinci, kteří pracují za tímto virem.
Bohužel je to pravda. Jakmile virus šifruje soubory, nastaví oběť časovač [4], aby zaplatila požadovanou částku peněz. Pokud transakce není provedena v dané hodině, je z počítače odstraněn jeden soubor. [5]
Ransomware útočil na španělské uživatele počítače. Výkupná poznámka této verze je naplněna cthulhu. Kosmická postava kombinovaná z chobotnice a draka.
Říká se, že jakýkoli pokus o zahájení odstranění ransomwaru vedl oběť ke ztrátě asi tisíc souborů [6]. Tlak, který není schopen vypnout počítač, a časovač odpočítávání tikat na obrazovce tlačí uživatele do placení zvláštního množství bitcoinů [7]. I když se tento virus může zdát děsivý, měli byste stále začít s odstraněním, protože je to stále možné. K tomu můžete použít Restoro Intego.
Chování viru skládačky
Obvykle se tento ransomware šíří a vstupuje do systému pomocí e.mailů s škodlivým spamem. Jakmile je uvnitř, skrývá se před obětí. Některé malé zpomalení systému a chyby mohou virus vzdát, ale je opravdu obtížné zachytit tento virus v akci.
Korejská verze je jedním z nejnovějších virů z této rodiny.
Virus tiše šifruje data pomocí šifry AES a připojí se k jednomu ze specifických rozšíření. Dále zanechává výkupnou notu se slavnou postavou z filmu „Saw“ v pozadí. Poznámka vysvětluje současnou situaci a žádá o zaplacení výkupného 150:
Vaše počítačové soubory byly šifrovány. Vaše fotografie, videa, dokumenty atd. Ale nebojte se! Zatím jsem je smazal. Máte 24 hodin na to, abyste zaplatili 150 USD v bitcoinech, abyste získali dešifrovací klíč. Každé hodinové soubory budou smazány. Pokaždé se zvyšuje množství. Po 72 hodinách zůstane vše, co zbývá.
Pokud nemáte bitcoiny Google na webu localbitcoins. Koupit bitcoiny v hodnotě 150 amerických dolarů nebo.4 BTC. Systém přijme jeden jeden. Odeslat na adresu bitcoinů zadanou. Do dvou minut od obdržení plateb váš počítač obdrží dešifrovací klíč a vrátí se k normálu. Vyzkoušejte něco zábavného a počítač má několik bezpečnostních opatření k odstranění vašich souborů. Jakmile je platba obdržena, budou kryptové soubory vráceny do normálu.
Děkuji.
Poznámka výkupného se může mírně lišit v závislosti na verzi ransomwaru Jigsaw. Instrukce však zůstává stejná. oběti jsou požádány, aby zaplatily výkupné; Jinak budou jejich soubory odstraněny. Neměli byste však být ohroženi zločinci a soustředit se na odstranění malwaru.
Ransomware Jigsaw je nebezpečná kybernetická hrozba, která má každoročně doručené řadu nových verzí.
Nové verze, které byly vytvořeny z viru Jigsaw
ZemBlax Ransomware
V dubnu 2020 odborníci na kybernetickou bezpečnost informovali o novém kmeni ransomwaru, který byl shledán distribuovaným jako druhé užitečné zatížení lokibotského info-stealera trojského. Podobně její předchůdci tato varianta používá šifrovací algoritmus AES a zaměřuje se na osobní soubory uložené na hostitelském počítači. Po úspěšné infiltraci může oběť tuto hrozbu rozpoznat z a.Přípona souboru Zemlax se připojila k dokumentům, videím, listům Excelu, hudbě a dalších souborů.
Ransomware ZemBlax je distribuován jako druhý užitečný zátěž malwaru Lokibot Info-Shealer
Zemblax Ransomware požaduje své oběti, aby zaplatily výkupné do 24 hodin. V případě nezaplacení hrozí zločinci odstraní část uzamčených souborů a zdvojnásobte cenu za dešifrovací klíč. Velmi však nedoporučujeme platit výkupné. Pokud byly vaše soubory šifrovány.Virus Zemlax, okamžitě otevřený správce úloh a deaktivaci DRPBX.exe proces.
Tento proces vypne ransomware, který vám umožní spustit úplné systémové skenování s programem anti-malwaru, aby se zemblax odstranil a zabránil tomu, aby byl soubor po 24 hodinách odstraněn. Nakonec si stáhněte bezplatný dešifrovač skládačky a pokuste se obnovit kompromitovaná data.
Payransom ransomware
Podle odborníků používá Payransom algoritmy AES k šifrování důležitých souborů a vyžaduje 150 pro dešifrování. Podobně jako u jiných verzí, tato verze také hrozí, že se zbaví souborů, pokud oběť nedokáže zaplatit výkupné v daném čase. Hrozivá zpráva o výkupném viru Payransom informuje, že cena výkupného se zdvojnásobí po 24 hodinách nezaplacení a ztrojnásobí se po 48. Pokud nechcete ztratit své soubory, je lepší odstranit Payransom okamžitě, protože tak budou vaše data šifrována, ale ne smazána. Tímto způsobem byste je mohli po nějaké době obnovit. Bohužel se zdá, že dešifrovací nástroj ještě nebyl objeven. Virus připojí.Prodloužení souboru Payransom.
Payms Ransomware
Payms Ransomware se jeví jako jiný virus, který byl vyvinut pomocí kódu hlavního viru. Proto tyto viry působí podobně. Tento virus žádá o stejné množství peněz jako virus Payransom. 150 USD. Pokud oběť neplatí výkupné do 24 hodin, cena dešifrovacího softwaru se zvýší na 225 USD.
Tento malware přidá.platit.payms nebo.Prodloužení souborů Paymst při šifrování dat. Naštěstí nemusíte platit výkupné za načtení vašich dat. můžete je obnovit pomocí tohoto dešifrovacího nástroje. Než jej použijete, musíte virus smazat z počítače.
Virus nabízí šifr, který je škodlivým nástrojem, který nedoporučujeme koupit a stahovat do systému.
Cryptohitman ransomware se zdá být hrozný virus, který vám může způsobit problémy v práci nebo domovu. Tento ošklivý virus vyniká z jiných variant ransomwaru, protože mění tapetu na plochu s pornografickým obrázkem a připojením.Porno Soubor prodloužení na šifrovaná data.
Naštěstí nemusíte platit výkupné, které Cryptohitman požaduje, protože volný dešifrovací nástroj pro tento virus již byl propuštěn. Můžete si jej stáhnout zde. Pokud jste se stali obětí tohoto počítačového hrozby, odstraňte jej pomocí výkonného anti-malwarového softwaru a začněte dešifrovat své soubory pomocí výše uvedeného dešifrovacího nástroje.
Jsme anonymní virus ransomware
„Jsme anonymní. Jsme legie. Nezapomínáme. My neodpouštíme. Očekávejte nás.„Takto virus pozdraví oběť poté, co dokončí šifrování všech souborů na kompromitovaném počítači. Varianta neslavného ransomwaru zamkne údaje oběti pomocí pokročilé šifrovací technologie a připojení.Prodloužení souboru xyz do každého souboru.
Uživatel je požádán o přenos 250 USD na poskytnutý bitcoinový adresu, aby obdržel dešifrovací nástroj. Naštěstí mohou být údaje dešifrovány bez poplatku s pomocí toho, jsme anonymní nástroj pro dešifrování ransomwaru skládačky. Jako vždy, nezapomeňte smazat ransomware před spuštěním dešifru.
Německá skládačka
Tato varianta se objevila kolem internetu na konci října. Jakmile je uvnitř systému, šifruje soubory oběti a přidává.prodloužení VersieGelt na každou z nich. Výměnou za dešifrovací službu žádá svou oběť, aby zaplatila 100 EUR v bitcoinech.
Ve srovnání s jinými hrozbami ransomwaru to není velké množství peněz. Rovněž stojí za zmínku, že jazyk jeho varovné zprávy je napsán v němčině, takže existuje vysoká možnost, že se šíří pouze v německy mluvících zemích. Než poškodí vaše soubory, ujistěte se, že odstraníte virus VersieGelt.
Infekce malwaru může mít za následek úplnou ztrátu dat
Francouzský virus skládačky
Francouzská verze viru byla objevena v polovině listopadu 2016 a začátkem roku 2019. Tyto viry ransomware šifrují soubory obětí přidáním jednoho z těchto rozšíření:.šifrované a.zábava. První varianta je zobrazení výkupného, která říká: „Vos fichiers ont été Cryptes et vous ne Pourrez les Rétupérer que si vous vous agřitní popínač.„[…] Nejnovější verze francouzské skládačky však ukazuje antikapitalistické znamení a je plná chyb gramatiky a překlepy.
Pokud vidíte tuto varovnou zprávu na ploše, zůstaňte v klidu a ani nepřemýšlejte o zaplacení výkupného. Jedna z metod v naší části „Obnovení dat“ můžete použít k dešifrování šifrovaných souborů. Než to však uděláte, musíte z počítače odstranit antikapitalista a další verze ransomwaru z počítače.
Turecký virus ransomwaru
Tato verze viru byla detekována známým lovcem ransomware Michael Gillespie [8] začátkem února 2018. Obecně platí, že tento nový ransomware obsahuje stejné behaviorální rysy jako jeho předchůdci, rozšíření souboru, které se připojuje, nebylo dosud vidět. V současné době všechny uzamčené soubory získají.Připojení spravedlnosti. Kromě toho vydírání aktualizovali Decrypter.
Podle virustotálního testu může [9] turecký ransomware vyvinout detekci nejsilnějších AV motorů. Pouze 39 AV motorů z 68 detekovalo škodlivý soubor. Informace o platbě za výkupné jsou stejné, ale počáteční „pozdrav“ se liší. Vydírání říkají (přeloženi z turečtiny): „Pokud je program otevřený, jsou všechny vaše (systémové) složky uzamčeny. Chcete.li je odemknout, vše, co musíte udělat, je dát nám peníze, které jste ukradli jiným lidem. Nebojte se. Pokud pro vás složka neznamená nic, dobře.“
Epic ransomware
Epic Ransomware je nejnovější verze ransomwaru, která opět pracuje pod názvem anonymní skupiny Hacktivist Group. Obrazovka zámku a výkupná poznámka tohoto viru je vidět níže. Virus sleduje typický vzor ransomwaru: dává oběti hodinu na zaplacení souborů. Po této době se z počítače vymaže 1-5 souborů. Pokud se oběť pokusí bojovat proti viru a vypne počítač.
Při příštím zavedení může virus smazat ne pět, ale 1 000 souborů. A co víc, hackeři požadují za obnovení dat pobuřujících 5 000 dolarů, ale stejně jako u zbytku verzí ransomwaru je výsledek takové spolupráce zcela nepředvídatelný. Je tedy lepší se zbavit viru namísto hraní podle pravidel hackerů.
Krypta.Ransomware Locker
Krypta.Ransomware Locker je další název pro verzi Epic Ransomware. Jak ukazuje obrázek níže, virus oslovuje oběť takovými řádky: „Velmi špatné zprávy! Jsem takzvaná krypta.skříňka s následujícími pokročilými funkcemi.„Virus se připojí.Epická rozšíření pro šifrované záznamy a žádá o zaplacení výkupného 5000 v bitcoinové měně. Taková částka peněz je nesmírně obrovská a neměli byste je dávat pro některé kybernetické zločince.
Doporučujeme odstranit virus a obnovit alespoň část vašich dat ze záloh. Prosím ignorujte všechna tato tvrzení o úniku vašich dat do vašich kontaktů. virus se vás snaží přesvědčit, abyste zaplatili, ale první věcí, kterou byste měli udělat, je dokončit kryptu.Odstranění skříňky.
Pokud uvažujete o zaplacení výkupného, měli byste vědět, že existuje spousta případů, kdy oběti zaplatily výkupné, ale nikdy nezískaly dešifrovací software. Totéž se může stát s kryptou.Locker Decryptor, že zločinci navrhují nákup.
Hacked Ransomware
Hacked Ransomware. V současné době je distribuce parazita poměrně nízká. Virus se však nezdá být o nic méně nebezpečný než předchozí verze.
Ačkoli to nevyžaduje, aby oběti platili otřesné částky peněz, nyní dává méně času, pouze 24 hodin na vydání platby 0.25 nebo 0.35 bitcoinů. Kromě toho nyní přidává nová verze viru.Uzamčený a.uzamčená rozšíření postižených souborů, které vyvolávají spekulace o potenciálním novém projektu mezi vývojáři vigsaw a locky.
Jigsaw 4.6 Ransomware
4.6 Verze Ransomware je pošetilá kopie neslavné hlavní verze viru. Přestože předpokládáme, že vzorky tohoto ransomwaru ukazují, že virus je v současné době proces rozvoje, může se stát, že je to jen další špatně programovaný virus.
Ukazuje se, že tento ransomware vůbec nezašifruje soubory oběti, i když v programu/výkupném poznamenejte, že se spustí v režimu na celé obrazovce, že soubory byly šifrovány.
Virus připojí různá rozšíření souborů, včetně.Jes.Paytounlock.zábava.Choda, atd.
Tato verze ransomwaru používá pro obrazovku zámku jiný obrázek Johna Krammera. Analytici malwaru však spatřili několik nových verzí malwaru, které se připojí.Nemo-Hacks.na.Sigaint.Prodloužení souborů org pro šifrované soubory a předpokládáme, že by to mohla být aktualizovaná verze 4.6 Ransomware.
Skutečnost, že tato nová verze připojí rozšíření souborů, ukazuje, že se virus pokouší upravit soubory uložené v systému, takže předpokládáme, že.Nemo-Hacks.na.Sigaint.Org ransomware může také šifrovat data oběti.
DarkLocker Ransomware
Také známý jako Monument Ransomware, DarkLocker Ransomware šifruje soubory a vyžaduje platit výkupné. Virus také poskytuje zámkovou obrazovku, kde informuje oběti, že jejich soubory byly šifrovány, protože sledovali porno. Vývojáři viru žádají o převod 0.15 bitcoinů do 24 hodin. Později velikost výkupného dosáhne 0.20 bitcoinů.
Autoři však malwaru navrhují okamžitě zaplatit výkupné, pokud oběti nechtějí úplně ztratit své soubory. Podle zprávy Ransom virus odstraní 1-5 souborů každou hodinu. A co víc, po 48 hodinách budou šifrovaná data odstraněna, pokud hackeři nedostanou platbu. Podle jejich rozkazů se však nedoporučuje. Je lepší odstranit virus darklocker a vyzkoušet další metody obnovy dat.
House Jokers
House Jokers je nejnovějším členem neslavné rodiny ransomware. Tento virus se objevil na konci dubna 2017 a od té doby rychle roste. Virus nespadne za svým předchůdcem a používá podobnou metodu vydírání výkupného: oběti jsou dány hodinu na zaplacení 100 dolarů za získání přístupu k jejich šifrovaným souborům. Pokud nedojde k provedení platby, výsledkem je zničení jednoho souboru.
Cyklus pokračuje, dokud oběť nepřenáší peníze. Kromě toho hackeři brání uživatelům také v uzavření obrazovky výkupného a hrozí, že zničí 1000 souborů, pokud se oběť rozhodne tak učinit. Obvykle pro většinu moderního ransomwaru, Jokers House označuje e.mail, kterým by je oběti měly kontaktovat v prodloužení přidaných do infikovaných souborů. V tomto případě je e.mailem tarineoza@gmail.com
Obvykle pro většinu moderního ransomwaru, Jokers House označuje e.mail, kterým by je oběti měly kontaktovat v prodloužení přidaných do infikovaných souborů. V tomto případě je e.mailem tarineoza@gmail.com, takže rozšíření jsou.Contact_tarineoza@gmail.com_.
Stuttergear ransomware
Strurtgear varianta útočí na uživatele stejným způsobem jako jeho předchůdci. Protože verze je docela nová, není známo, jakou konkrétní šifrovací techniku používá.
Vzhledem k tomu, že titul pochází z MTV show „The Strutter“, vývojáři se zabývají svými oběťmi intenzivním způsobem. Po dokončení šifrování aplikace grafického rozhraní dává obětem, aby zaplatily 500 dolarů v bitcoinech a přenesly je na uvedenou adresu. Nepřipojí žádné rozšíření souborů. Malware má také tendenci smazat jeden soubor po konkrétním období.
Verze Struttergear pochází z vzpěr. Jedna z MTV show.
THEDARKRYPTOR RANSOMWARE
TheDarkCyrptor Ransomware pozdraví uživatele s „Všechny vaše soubory byly šifrovány tmavým šifrovacím algoritmem vojenské třídy“ Ransom Note. Ve srovnání s jinými verzemi vyžaduje malware pouze 100 dolarů výměnou za soubory uživatelů.
Pokud platbu nedokončíte do pěti dnů, je údajně výkupná částka zvýšení až na 350. Virus má sklon k připojení.Prodloužení souboru TDELF na kódované soubory. Kromě toho nemá žádné zajímavé funkce. Uživatelé by si měli být vědomi svých rozmanitých distribučních metod.
Ramsey Ransomware
Verze Ramsey Malware čerpá inspiraci ze starověkého Egypta. Over, dává přednost cílení na turecké netizeny, protože výkupná poznámka je psána v příslušném jazyce. Kromě svých funkcí pro odstranění jednoho souboru po nějaké době poskytují zločince také konkrétní e.mailovou adresu. Ramsey34.Ramsey34@vfMail.síť.
Ztracený ransomware
.Virus ztraceného souboru je verze viru, která má sklon k šifrování souborů kombinací technik šifrování RSA a AES. Jeho provoz je stále nízký, takže do této varianta se může narazit jen několik uživatelů. Dejte si pozor na spamové e.maily se stinnými přílohami.
Všimněte si, že takové e.maily vás mohou alarmovat falešnými poplatky předloženými předpokládaným FBI nebo e.mailem, které vás žádají o kontrolu zajímavých informací. Taková verze bude s největší pravděpodobností distribuovat prostřednictvím poškozených domén.
R3K7M9 Ransomware
.Varianta rozšíření souboru R3K7M9 bude pravděpodobně distribuována na webech s herními a obsazeními pro dospělé. Zajímavé je, že rozšíření se týká alternativní abecedy „Leet“ popularizované mezi hackery v 80. letech. Ransomware se aktivuje prostřednictvím FCK.soubor exe, takže může být zabalen pod převzetím zkorumpované aplikace. Jakmile se vkradne do zařízení, může to vyžadovat nějaký čas na šifrování souborů.Rozšíření souboru R3K7M9. Vyžaduje to přibližně 300 dolarů za výkupné.
Ransomware potkana
.Virus prodloužení souboru potkana se zapletuje do souboru systému a uživatelů, jakmile je to bezprostřední soubor Monitor Remote Desktop Tool (RAT). Kvůli přestrojení souboru si oběti nevědí, že tuto hrozbu aktivovaly.
Tato nová verze se také připojuje ke konkrétní adrese IP. Podle svých technických specifikací je infekce detekovatelná jako varianta Gen:.Barys.2440 nebo Trojan.Barys.D988. Připomíná to další hrozbu. virus Cryptodark. Naštěstí může několik nástrojů pro kybernetickou bezpečnost identifikovat infekci a blokovat ji včas.
.Zabijte virus souborů
.Virus prodloužení souboru Kill byl objeven v červenci 2017. Podle vědců byl virus detekován jako nová varianta neslavné rodiny ransomware, která se připojí.Zabijte příponu souboru. Malware pokračuje v práci stejně jako její předchůdci: šifruje různé soubory, jako je MS Office, image, zvuk, video, archivy atd. Jakmile je to hotovo, požaduje zaplatit výkupné.
Malware s největší pravděpodobností vstoupí do systému pomocí škodlivých příloh e.mailů. Doporučuje se tedy držet dál od podezřelých e.mailů s spamem a vyhnout se otevírání souborů nebo odkazů zahrnutých do e.mailu odeslaného od neznámého odesílatele. Po infiltraci se doporučuje odstranit.Zabijte virus souboru a vyzkoušejte možnosti obnovy dat zdarma.
Korea Ransomware
.Virus prodloužení koreje byl spatřen 14. července. Tento ransomware nahrazuje obrázek stolního počítače oběti prázdnou černou obrazovkou s bílým smajlíkem. Během útoku tento virus šifruje soubory oběti a připojí k nim prodloužení souborů Koreje.
Naštěstí oběti.Virus prodloužení souboru v Koreji se nemusí starat o ztracené soubory, protože dešifrovač je schopen je obnovit zdarma. Proto, pokud jste se náhodou stali obětí ransomwaru, odstraňte korejskou ransomware a dešifrujte své soubory pomocí dešifru.
Ransomware Jigsaw se mění od roku 2016.
Jigsaw polský virus
V srpnu 2017 se objevila polská verze viru. Na postiženém zařízení je prováděno z CMD.soubor exe. Pak provede několik změn v systému a spustí postup šifrování dat. Do cílených souborů, které připojí.Prodloužení souboru Pabluklocker a činí je zbytečnými.
Zdá se však, že tato varianta má chyby a nefunguje správně. Proto by vás neměla být ohrožena strašidelnou tapetou a spěchat, abyste zaplatili výkupné. Zaměřit se na.Odstranění Pabluklocker a vyzkoušejte bezplatný dešifrovač pro obnovení dat.
Jigsaw ScreenLocker
Tento virus běží z ransowmaro.Soubor exe, který obvykle dorazí do systému jako zablokované přílohy e.mailu. Na postiženém zařízení začíná skenovat systém a šifrování cílených dokumentů, multimediálních souborů a dalších dat. Jakmile jsou všechny soubory uzamčeny příponou souboru, spustí okno ScreenLocker.
Podle pokynů hackerů však není nutné. Musíte se zbavit uzamčené obrazovky, odstranit virus a použít dešifrovač k obnovení poškozených souborů.
Pabluklocker ransomware
Jedná se o aktualizovanou variantu Ransomware Ransomware Pabluklocker, která pro označení šifrovaných souborů používá nové rozšířeníPablukcrypt. Virus zobrazuje zprávu, která specifikuje verzi viru. Tentokrát to kybernetičtí zločinci identifikují jako „pablukl0cker 4.0 Ransomware “.
Hrozivá zpráva uvádí, že virus odstraní několik souborů v první den infekce, několik stovek následujícího dne a několik tisíc třetí den. Naštěstí se nemusíte bát, pokud byly vaše soubory šifrovány tímto ransomwarem. dešifrovač byl aktualizován a je schopen obnovit vaše soubory zdarma, takže vše, co musíte udělat, je odstranit virus pablukcrypt ze systému.
Pabluk300crypt! Ransomware
.Pabluk300crypt! Virus prodloužení souboru se objevil další den po vzhledu Pabluk Crypt. Malware používá stejnou strategii ohrožující a slibuje každý den smazat stále více souborů oběti. Jediný rozdíl mezi těmito viry je, že se tato nová varianta připojí.Pabluk300crypt! Rozšíření na šifrované soubory.
Soubory zkorumpované tímto ransomwarem jsou dešifrabilní, takže odstraňte.Pabluk300crypt! Ransomware dnes a hned začněte obnovovat soubory. Nezapomeňte přijmout preventivní opatření, aby váš počítač chránil před podobnými útoky na ransomware.
Zábavný ransomware
Škodliví herci za kmenem se vrátili v říjnu 2017 s aktualizovanou verzí.zábavný virus prodloužení souboru. V současné době se šíří ve formě falešného parního crackeru (st3amcrack3r.PDB) Program, který stáhne novou variantu ransomwaru do systému a provede jej.
Škodlivý software se pokouší šifrovat soubory, ale selže kvůli použití vadné šifrovací klíče. Malware však stále zobrazuje náhodnou obrazovku, která žádá o zaplacení 500 za dešifrování dat. Rovněž stojí za zmínku, že nová verze používá jiný obrázek pro pozadí obrazovky vyvíjející výkupné. Tentokrát nepředstavuje postavu ze slavného filmu, ale známá anonymní maska.
Toto však není první případ ransomwaru pomocí.zábavné rozšíření na šifrované soubory. Podobná verze, která dříve žádala o 150 USD jako výkupné, se objevila v dubnu 2016. O rok později, v dubnu 2017, se objevila další verze s žádostí o 25. Zábavný ransomware (všechny jeho verze) jsou typické varianty ransomwaru, které slibují, že nakonec odstraní velké množství souborů oběti, pokud oběť nezaplatí výkupné. Proces ničení dat však lze zastavit implementací zábavného odstranění ransomwaru.
Pennywise ransomware
Malware se připojí.Prodloužení souboru pípnutí na kódovaná data. V současné době je hrozba zatížení souborů stále vyvíjena. Obsahuje evidentní chyby ve zdrojovém kódu a nekóduje data v rozporu s alarmy.
Zobrazuje své GUI, které obsahuje obrázek Pennywise postavy z filmu IT [10]. Poznámka ohrožuje uživatele, aby některé z kódovaných souborů odstranily po každé hodině. Pokud se oběť pokusí vypnout počítač nebo zavřít GUI, vývojář hrozí, že odstraní 1000 souborů.
Malware se pravděpodobně rozšíří v rámci nastavení.Soubor exe, který naznačuje, že se malware rozprostírá v přestrojení aplikace. Proto věnujte pozornost tomu, co a jaký zdroj nainstalujete novou aplikaci. Je to detekovatelné většinou bezpečnostních programů.
.## Encrypted_by_Pablukl0Cker ## Ransomware
.## Encrypted_by_Pablukl0cker ## File Extension Virus se projevuje docela zábavné chování. Od vzniku počáteční verze bylo jasné, že generování aktivity je pro vývojáře zábavnou činností. Tento vzorek také prokazuje takové spekulace. Po procesu infekce malware vylíhne více snímků pořízených ze známých filmů, jako je Shrek. Další fotografie zobrazuje protestujícího na sobě masku Guy Fawkes.
Zdrojový kód tohoto malwaru obsahuje zprávu, která pozdraví „oběť“ [11]. Informuje, že všechny důležité soubory jsou uzamčeny. Po každé hodině jsou některé z nich odstraněny. V případě, že oběť nedokáže vystoupit do 72 hodin, budou všechna kódovaná data odstraněna. Pachatel také alarmuje uživatele, aby nevypnul počítač, protože to povede k odstranění 1 000 souborů. Zpráva dále označuje Pablukl0CKER638YZHGR@2TOR.com pro kontaktní účely.
Nová verze je již detekovatelná většinou bezpečnostních aplikací jako MSIL: Ransom-Bu [Trj], Heur: Trojan-Ransom.Win32.Obecný. Tato verze se skrývá pod lol VIP RP Hack 4.0.exe. Virustotal, bezplatná služba prolační analýzy URL.3720.exe. Při instalaci nových programů a nových rozšíření tedy mějte na tento aspekt.
Cryptwalker Ransomware
V lednu 2018 se objevila nová verze Jigsaw. Virus se šíří jako bitcoinblackmailer.soubor exe a jakmile je provedeno v cílovém systému, spustí postup šifrování dat.
Virus zamkne data s.Rozšíření souboru Cryptwalker a hrozí, že odstraní soubory, pokud oběti neplatí výkupné. Odborníci na bezpečnost však doporučují odstranit.Virus souboru Cryptwalker a pro obnovení dat použijte bezplatný dešifrovací software.
FUCKMedMaddy Ransomware
Dne 8. ledna 2018 vědci informovali o debugové verzi ransomwaru, který se připojí.FuckMedMedDys File Extension a poskytuje výkupné s tématem pro dospělé, kde zločinci poskytují pokyny pro obnovu dat v polském jazyce.
Příklad FuckMedMaddy je nejkontroverznější verze malwaru
Zločinci používali ransomsupport@2tor.com Kontaktní e.mailová adresa. Kontaktování je však nedoporučuje. Malware je prováděn v systému od Big Daddy Cock.soubor exe.
Mada Ransomware
Mada Ransomware je další verze krypto-viru, která se připojí.LOCKED_BY_PABLUKL0CKER PROPOJENÍ na cílené soubory. Ransomware se šíří jako Google Chrome.Soubor exe, který umožňuje obcházení zabezpečení počítače poměrně snadno.
Cybercriminals používají rakolo23@gmail.com e.mail pro komunikaci s oběťmi, které chtějí dešifrovat své soubory. Specialisté na bezpečnost však doporučují odstranit virus místo placení výkupného, protože to může vést pouze ke ztrátě peněz.
# ransomware
V únoru 2018 zjistili výzkumníci ransomware novou formu ransomwaru. Stejně jako většina jeho předků útočí na náhodné počítače prostřednictvím spamového e.mailu, když její majitelé otevřou škodlivou přílohu. Po provedení virus přidává.# Rozšíření souboru a zamkne většinu osobních souborů. bohužel.# Virus prodloužení souboru zatím nemá bezplatný dešifrovač, takže jediným způsobem, jak se ho zbavit, je použít profesionální anti-malware a obnovit data pomocí záloh.
.KONTAKT-ME-HEER-PRO-KEY-ADMIN@adsoleware.virus prodloužení souboru com
V březnu 2018 vědci objevili verzi šíření malwaru jako zablácené Xbox-One-Mod-Menu.soubor exe. Jakmile je v systému staženo užitečné zatížení malwaru, spustí šifrování dat a učiní soubory nepřístupné připojením Xbox-one-Mod-MenU.Prodloužení souboru exe na každý z nich. ZDARMA je však bezplatná dešifrovačka obnovit.
BitConnect Ransomware
V březnu 2018.Verze prodloužení souboru BitConnect byla zaznamenána. Je provedeno z jigsawransomwaru.soubor exe a okamžitě spustí šifrování dat na postiženém počítači. Zajímavým faktem o tomto ransomwaru je, že žádá, aby pořídil snímek a nahrát jej na Instagram:
Držte kartu s napsáním @twistedsquad a zveřejněte ji na Instagram a značku @twistedsquad.
Místo propagace podezřelých účtů byste však měli odstranit.Virus prodloužení souboru BitConnect s renomovaným anti-malwarovým softwarem.
JES Ransomware
V polovině března 2018 odhalili výzkumníci ransomware novou variantu ransomwaru aktivně šířící se prostřednictvím spamových e.mailových příloh a škodlivých aktualizací softwaru. Je orientován na španělsky mluvící uživatele. Zamkne soubory připojením.Prodloužení souboru JES a urychluje oběť k převodu platby do 24 hodin. Jinak to jako trest smaže sto souborů výkupného.
Španělská verze používá obrázek na pozadí Cthulhu. Cthulhu je kosmická entita vytvořená Lovecraftem a zobrazena jako kombinace chobotnice a draka. Takové rozhodnutí lze jen stěží vysvětlit, ale můžeme hádat, že přechod z skládačky na Cthulhu byl zahájen, aby zakryl jejich spojení a přiměl lidi k nákupu dešifrovaného. Přesto však nezaplaťte výkupné, protože původní dešifrovač již byl aktualizován způsobem odemknutí souborů šifrovaných pomocí.virus prodloužení souboru JES.
.E-mail- [PowerHacker03@hotmail.com].Virus prodloužení souboru koreagame
Vývojáři virů ransomwaru neztrácejí čas. Méně než týden po.Uvolnění viru prodloužení souboru JES, hackeři zavedli korejskou verzi této notoricky známé hrozby, která je v současné době ve své fázi včasné distribuce.
Virus je známý pro připojení.E-mail- [PowerHacker03@hotmail.com].Rozšíření souboru koreagame do každého uzamčeného souboru a nařízení oběti, aby jim poslala zadaný balíček Ransomware do powerhacker03@hotmail.com e.mail.
Pokud jste již byli napadeni verzí korejského viru, nespěchejte, abyste zaplatili výkupné. Odborníci na kybernetickou bezpečnost uvedli, že bezplatný dešifrovač byl aktualizován, aby rozpoznal a dešifroval.E-mail- [PowerHacker03@hotmail.com].Prodloužení koreagame.
Lolsec ransomware
Tato virová verze byla detekována v první polovině dubna 2018. Být dalším „mistrovským dílem v umění“, LOLSEC obsahuje profesionální obrázek pro uzamčení obrazovky ilustrující femme fatale doprovázený žolíkem.
Charakteristiky lolsec se shodují s předky, kromě toho, že se připojí.Prodloužení souboru lolsec na uzamčené soubory. V současné době ransomware, který je závislý na bitcoinblackmailer.Soubor exe může být detekován 33 AV motory z 65.
V případě, že jste našli své soubory šifrované pomocí lolsec ransomware, nespadněte za placení výkupného. Již byla přidána do databáze dešifrátora, což znamená, že ji lze snadno rozbít. Jediné, co musíte udělat, je stáhnout renomovaného antiviru, spustit skenování s ním, abyste odstranili lolsec, a poté stáhnout dešifrovače, který je k dispozici na konci tohoto článku.
Apophis Squad
Zjištěna v polovině dubna 2018 a Apophis Squad zacílí na anglicky mluvící uživatele PC a lze jej rozpoznat.Zábavné rozšíření souboru, které připojí k šifrovaným souborům. Používá AES 256 šifry k vykreslení osobních souborů k zbytečným a požaduje, aby oběť zaplatila 500 výkupné v bitcoinové kryptoměně do 72 hodin. Poznámka výkupného říká:
Byli jste napadeni Apophis Squad!Vaše soubory jsme šifrovali pomocí AES 256, což není snadné zvrátit! XDDO není panika, dovolíme vám to opravit tím, že nám pošleme platbu.Už jsem však šifroval vaše osobní soubory, takže k nim nemůžete získat přístup.: @apophissquadv2 web: apophissquad [.] RU Maker: P13X13T
[1H časovač Counddown] Čas do smazání souboru.Odeslat 500 v hodnotě bitcoinů zde: [34 náhodných chartters] [Provedl jsem platbu, nyní mi vraťte své soubory!Tlačítko]
Příklad Apophis Squad, který patří k rozsáhlé rodině viru
HAC Ransomware
.Virus prodloužení souboru HAC se zaměřuje zejména na portugalské uživatele PC. Je distribuován prostřednictvím škodlivého spamového e.mailového přílohy infikovaných jigsawransomware.Exe užitečné zatížení. Po provedení.Soubor exe vstřikuje škodlivé procesy do systému a zahajuje šifrování dat pomocí AES Cipher. Po kódování se uzamčené soubory dostanou.Prodloužení souboru HAC a očekává se, že oběť zaplatí v bitcoinech vyplacení, aby se soubory vrátily.
Na rozdíl od předchozích verzí se tato verze dabovala jako.Virus prodloužení souboru HAC, má vysoký poměr detekce. Podle Virustotal, [12] 44 AV motory z 66 jsou schopny jej detekovat a imunizovat. Proto důrazně nedoporučujeme platit výkupné. Místo toho odstraňte virus a zkuste obnovit své soubory pomocí níže uvedených alternativních metod.
Booknish Ransomware
Tato verze je v současné době nejnovější a používá se.Přípona booknish souborů po šifrování souborů. Jakmile jsou uzamčeni, oběť již nemá přístup a je požadována, aby zaplatila 100 jako výkupné. Všechny informace nezbytné pro dešifrování jsou uvedeny v notě výkupné.
Vzhledem k tomu, že se šíří uvnitř škodlivého spamového e.mailu, jsou uživatelé podvedeni k otevření přílohy a provedení užitečného zatížení ransomwaru. Odborníci říkají, že připevňování maskuje pod názvem Firefox, aby se ujistili, že jsou lidé oklamáni. Přestože je spustitelný soubor Ransomware pojmenován jako Jigsawransomware.exe.
Vývojáři ransomwaru se pokoušejí ohrozit uživateli, aby zajistili platby za výkupné, jak je uvedeno níže:
Každou hodinu vyberu některé z nich, abych trvale smazal, proto k nim nebudu mít přístup.
Během prvních 24 hodin ztratíte jen několik souborů, druhý den několik set, třetí den několik tisíc atd.
Pokud vypnete počítač nebo se mě pokusíte zavřít, až začnu příště, že jste dostali 1000 souborů smazaných jako trest.
Choda Ransomware
Toto je verze hrozby, která se zaměřila zejména na korejské oběti. Byl propuštěn na začátku července 2018. Pro mnoho obětí to vytvořilo frustraci, protože provádění užitečného zatížení vedlo k existující úpravě souborů a dalším problémům s cílenými stroji. Po blokování souborů, které označuje všechny soubory.Choda, malware přidal na stroj Choda Ransom (초다 랜섬 웨어). Poznámka a zpráva od zločinců v textovém souboru napsaná v korejském jazyce. Cíl byl tedy zřetelný. Několik dní po této verzi však kybernetičtí zločinci vydali další, zaměřenou na anglické mluvčí.
.coder007@protonMail.com soubory virus
Verze pro anglicky mluvící hrozby byla zaznamenána 5. července 2018. Virus získal název z kontaktního e.mailu a konkrétního značky souborů, který byl přidán na všechny postižené obrázky, dokumenty, archivní soubory, videa, zvukové soubory. Bylo však snadné zjistit, že hrozba je od stejných vývojářů kvůli procesu spuštěným v pozadí jigsawransomware.exe. Hrozba dokonce použila falešný soubor Firefox, spustitelné soubory údajně související s programem, takže cílená osoba si nemůže všimnout infekce.
.Black007 Ransomware
Ve stejném měsíci července byl rušný čas, 23. soubory označování verzí s.Black007 vyšel. Není mnoho změn provedených v poznámce Ransom nebo v konkrétní taktice, takže tyto všechny varianty vydané ve stejném měsíci se podobaly primární verzi ransomwaru. Stejná tvrzení o vymazání souborů a velkých platech ransomwaru se pohybují na tisíce dolarů ve formě bitcoinů.
Data Ransomware
Soubory označování hrozeb s.Data dodatek a náročné 100 euro v bitcoinech pro údajné vyšly dlouho po předchozích verzích. Na začátku roku 2019, 14. ledna, byla tato hrozba spatřena vědci a odborníky na malware. Věci odlišné od jiných hrozeb v rodině byl textový soubor ve francouzštině a množství vykoupení. 100 euro namísto typičtějšího rozsahu tisíců.
Samostatný antikapitalistický ransomware byl další s textovými soubory a dalšími zprávami napsanými ve francouzském jazyce. Hrozba, jak je typická pro své varianty, žádá o platbu 300 EUR a tvrdí, že všechny soubory úplně odstraní ze stroje. Je to běžné pro novější verze v této rodině a pro další hrozby kryptoviru, takže lidé přemýšlejí o důsledcích a snadněji se vyplatí.
Yolo Ransomware
Toto byla verze vydaná také v lednu, ale také to byla poslední detekovaná v roce 2019. Konkrétní tým Yolo Virus odhalil všechny informace v poznámce o výkupném určeném konkrétním týmu Blue, protože zločinci jsou červený tým. S konkrétním e.mailem Kontaktujte Redteam@YOLOSECFAMEWork.com. Zpráva:
Pozdrav a pozdravy, modrý tým.Vaše osobní soubory mají. Vaše společnost Intellictual Ambuding nyní námi patří ale červený tým není tak nadšený. Stane se to pouze tehdy, pokud neplatíte výkupné.Máme však šifrování, takže k nim nemáte přístup.Každých 10 minut si vybíráme některé z nich, aby se trvale smazaly, proto k nim nemůžeme přistupovat ani.Zatímco červený tým je milosrdný, Red Team není bez omezení trpělivosti.Začínáme SlowMess a pak zvyšujeme soubory DEBED každých 10 minut.To vám má pomoci s rozhodnutím platit výkupné a obnovit údaje. Další několik stovek a několik tisíc atd. Dostáváte vánek, ne?Pokud vypínáte počítač nebo zavírání okna, až se malware začne příště, budeme 1000 souborů smazat jako způsob trestu vás.Budete chtít, aby malware začal příště, protože jen způsob, jakým je schopen dešifrovat vaše osobní údaje pro vás.Posílejte prosím všechny platby na redteam@yolosecfamework.CoMalso včetně jedinečného hash do textového pole níže nebo neví, kdo má dešifrovat.Pošlete obrázek modrého týmu, který drží znamení, který říká „pravidla týmu Red“ na:
BTC Ransomware
První, který vyšel v roce 2020 pro tuto rodinu virů. BTC Files Virus, který označuje soubory pomocí.Prodloužení BTC a zaměřuje se na anglicky mluvící uživatele. Typické okno souboru typu HTA s platebním systémem a zprávou vyžadující peníze. Specifické množství bitcoinů požadovaných od obětí je ekvivalentní 1499. Zločinci tvrdí, že odstraní nejméně 1000 kusů dat, pokud se osoba rozhodne přeskočit platbu. Je zásadní odstranit hrozbu, takže můžete infekci vyčistit a jít na obnovení souboru.
Mince Adder v1.0: Nástroj používaný k dodání ransomwaru
Přestože většina vývojářů ransomwaru se drží metod primárního distribuce, odborníci si všimli, že hackeři změnili svou techniku v prosinci 2016. Pro novou metodu použili nechvalně známý bitcoinový krádež známý jako Electrum Coin Adder V1.0.
Tento nástroj je schopen ukrást bitcoiny pouze pomocí určitého ID transakce. Tento nástroj však návnady pouze pro lidi, kteří chtějí vydělávat peníze snadným způsobem.
Zdá se, že Electrum Coin Adder nainstaluje BTC Scoller a také stahuje a nastavuje ransomware na počítači. Zajímavým faktem je, že tento virus ve svém kódu používá zajímavou linii. config.ActiveAfterDateTime = new DateTime (2016,12,23).
Pokud jste měli to štěstí, že během Vánoc zůstali bez virů, ujistěte se, že se v roce 2017 spoléháte na bezpečné procházení, protože tento virus přináší pouze smutek a stres.
Ujistěte se, že máte aktuální anti-malwarový nástroj a nezapomeňte naskenovat počítač před tímto datem, pokud jste si stáhli nějaké podezřelé programy, otevřeli pochybné e-mailové přílohy nebo nainstalovali samotný virus mincí Electrum Coin Adder!
Kampaně Malspam. hlavní vektor útoku ransomwaru
Vrátíme.li se k primárním distribučním technikám, je ransomware dodáván uvnitř příloh škodlivých e.mailů. Z tohoto důvodu je důležité věnovat pozornost během vašich procházení: Neklikejte na neznámé odkazy a nevyvarujte se stahování softwaru z podezřelých webových stránek. Malware obvykle maskuje jako legitimní software, takže je těžké jej identifikovat, než bude příliš pozdě.
Zkuste si stáhnout software pouze ze spolehlivých zdrojů a vždy zkontrolujte, zda stažená aplikace neobsahuje další software čekající na instalaci na počítači také. Pokud jde o e.mail, měli byste pečlivě prohlédnout sekci „Spam“. Neotevírejte žádné přílohy, které nabízejí regeneraci iPhone nebo jinou běžnou trofej, i když vás oslovují přímo.
Některé nepoctivé programy však mohou také proklouznout do vaší pravidelné doručené pošty, takže nejlepší možností je získat spolehlivý antivirový software, který vás bude chránit před nežádoucími programy.
Aktualizace 2020: Kromě kampaní MALSPAM lze ransomware distribuovat pomocí trojských koní. Nová kampaň byla odhalena v dubnu, která ukázala na lokibot bankovní trojan, který nese užitečné zatížení a umožňuje ji hned po ukrást dostatečné množství pověření oběti.
Současná kombinace Lokibot a Jigsaw je distribuována prostřednictvím spamových e.mailů, které nesou infikované listy Excel. Zatímco téma a obsah e.mailů se mohou lišit, obvykle jsou přílohy pojmenovány takto:
Otevření e.mailu vyžaduje povolení uživatele povolit makra, což je ve skutečnosti povolení uživatele povolit trojský. Proto před důvěrou e.mailu s přílohou od neznámého odesílatele je vhodné naskenovat přílohu nebo odpovědět odesílateli s otázkou, pokud je příloha bezpečná k otevření. Pokud byl odeslán robotem, nikdy nedostanete odpověď.
Po odinstalaci virus sigsaw můžete obnovit šifrovaná data
Chápeme, že útok ransomwaru je frustrující proces, který by vám mohl způsobit finanční ztráty. Ačkoli nemusíte platit výkupné, abyste znovu získali přístup k vašim souborům. Nejprve byste se měli zbavit viru a pak budete moci získat nástroj pro bezplatné dešifrování souboru [13].
První věc, kterou byste měli udělat, je jít do správce úloh a zabít Firefox.exe a drpbx.Exe procesy [14]. To by mělo zajistit, aby žádné další soubory nebyly vymazány z vašeho počítače.
Poté spusťte msconfig a ukončete Firefox.spuštění exe, který iniciuje virus. Jakmile je spuštění viru ukončeno, můžete použít MalwareBytes nebo Spyhunter 5 Cleaner pro skenování počítače pro tento malware.
Nezapomeňte spustit další skenování systému, abyste se ujistili, že všechny komponenty viru jsou z počítače zcela odstraněny. Po těchto krocích kombinovaných s pokyny pro odstranění skládačky uvedené níže by vám mělo pomoci zbavit se tohoto zrádného viru bezpečně a bez poškození vašich souborů.
Ransomware Jigsaw přidává urážku zranění
Co by mohlo být horší než infekce ransomware? Co takhle nakažení krypto-ransomware, který vás posmívá pomalu mazáním vašich šifrovaných souborů a zároveň zvýšením poptávky po výkupném, dokud nezaplatíte za dešifrovací klíč? A ne restartujte svůj počítač, jinak ransomware smaží 1 000 souborů najednou jako odprát.
To je předpoklad za Jigsaw, nový kmen ransomwaru, který se nejen snaží zvýšit tlak na platit oběti, ale který také odkazuje na hororovou sérii „mučení porno“.„Zejména je fiktivní sériový vrah filmu, John Kramer, přezdíván The Jigsaw Killer a komunikuje s oběťmi pomocí loutky zvané„ Billy “. nebo autoři. Také zaměstnávejte ve své výkupné.
Ransomware také lidoopy červené hodiny použité ve filmu, aby se odpočítávaly do termínů uložených vrahem, aby obětem ukázaly, kolik času zbývá, než se více souborů smazává, a zvýšení výkupného se zvýší poptávka. A po 72 hodinách ransomware odstraní každý šifrovaný soubor na počítači (viz Ransomware: Je v pořádku platit?).
Zdá se, že tento poslední zvrat v ransomwaru byl kódován 23. března a byl použit při živých útocích do konce měsíce, říká Andy Settle, vedoucí zvláštního vyšetřování v Raytheonově kybernetickém obchodní síle. dříve známý jako Websense. V příspěvku na blogu. „Tento škodlivý program začíná šifrovat vaše soubory a přidává, bez ironie, ‚.Zábavné prodloužení souboru, “říká. „Používání obrázků hororových filmů a odkazů, které způsobí úzkost v oběti, je nové nízké.“
Další varianty ransomwaru, mezitím kopírovat a šifrovat soubory pomocí.Kkk.Btc, a.GWS rozšíření, před odstraněním Originals, Jasen Sumalapao, malware analytik společnosti Trend Micro, říká v blogovém příspěvku. Dodává, že výkupná poznámka existuje ve verzích anglického jazyka i portugalského jazyka a že nejnižší možná částka, kterou mohou oběti zaplatit. Než se poptávka začne zvyšovat. rozmezí od 20 do 150 v bitcoinech.
Žádný oběd zdarma
Trend Micro říká, že se zdá, že se dívka distribuuje prostřednictvím adwaru a „Grayware“. A.k.A. „Potenciálně nežádoucí aplikace“, například „bezplatné panely nástrojů“. stejně jako prostřednictvím webů, které pořádají obsah dospělých. Mnoho útoků pravděpodobně začíná infekcí „malware dropper“, která pak stáhne a nainstaluje kopii skládačky hostované na službě Cloud Storage Free Cloud Storage 1fiChier.com. „Tato služba již dříve hostila další malware, jako je informace o vědcích informacích, stejně jako Coinstealer, který shromažďuje bitcoiny,“ říká Sumalapao. „O tomto incidentu jsme již informovali 1ficher a již odstranili uvedené škodlivé adresy URL.„Jiné verze skládačky byly také vidět na Waldorftrust.com Web, dodává, poznamenává, že ransomware byl pravděpodobně spojen s aplikacemi, které tvrdí, že je software „Cryptominer“ pro používání PC pro generování kryptoměny. (Tip: jsou často falešní.)
Forcepoint říká, že varianta skládačky, kterou studovala, byla napsána.Čistý kód, který se vývojář pokusil zmařit. „Chcete.li zabránit analýze“. a selhal. Výsledkem je, že vědci v oblasti bezpečnosti byli schopni obnovit šifrovací klíč pevně zakódovaný do malwaru a 100 různých bitcoinových adres, kterým lze výkupné platit. Settle říká, že tyto adresy byly nyní sdíleny s úřady (viz Tvrdší používat bitcoiny pro zločin?).
Od doby, kdy byl šifrovací klíč skládačky obnoven, vědci zabezpečení byli také schopni zveřejnit pokyny pro odstranění infekcí skládačky. Samozřejmě je to jistá sázka, že vývojáři společnosti Jigsaw brzy napraví své chyby kódování v nové verzi, což je přesně to, co se stalo poté, co vývojáři za Teslacrypt v loňském roce přehnali své krypto.
„Mučení ransomware“. Komoditní zvraty
Jigsaw pokračuje ve věku staré praxe zločinců. včetně online útočníků. zaměstnávání „psychologických pák“ ve snaze oklamat nebo přimět oběti k rozdělení svých peněz.
Ale funkčně řečeno, stejně jako u bankovních trojských koní, malwaru v místě prodeje a nyní ransomware, existuje často skromný rozdíl mezi různými rodinami škodlivých kódů. Aby se zvýšili ante, útočníci v některých případech začali zaměřit nejen na jednotlivé počítače, ale celé podniky, včetně nemocnic, hledají větší jednorázové platby za výkupné.
Vezmeme-li stránku z průmyslu spotřebitelů. „V dnešní době je názvem krypto-ransomware hry přidat„ jedinečné “funkce nebo„ kreativní “způsoby, jak vštěpovat strach a vyvíjet více tlaku uživatelům, aby zaplatili, navzdory skutečnosti, že pokud jde o jejich technické rutiny. Mezi těmito malware není velký rozdíl, “říká Trend Micro’s Sumalapao.
Zadejte „mučení ransomware.„A skutečnost, že jsme se dostali do bodu, kdy vývojáři ransomwaru kódují variace hororového filmu, ukazuje nejen relativní snadnost vytváření tohoto typu malwaru, ale neuvěřitelný potenciál zisku.
Porazte šance
Anti-ransomware rada pro bezpečnostní odborníky jako vždy zůstává stejná, přičemž útočníci nebo bez něj zaměstnávají výkupné poznámky s sadistickými loutkami jménem Billy:
- Udržujte aktuální zálohování.
- Zajistěte, aby zálohy byly uloženy offline, takže ransomware ho nemůže dosáhnout pomocí připojených, síťových nebo cloudových jednotek.
- Pravidelně testujte zálohy.
- Spusťte anti-malware software pro blokování známých kmenů ransomwaru.
- Udržujte všechny aplikace a operační systémy aktuální.
- Nebojte se ransomwaru.
Pro rozsáhlejší radu naleznete v seznamu nejvyšších ransomwarových obranných obrany Blaze pro bezpečnostní odborník pro jednotlivce i organizace. Z hlediska hororového filmu: Připravte se, takže nemusíte platit.
Jigsaw ransomware: cokoli jiného než hra
To je zlověstná (přesto podivně uklidňující), které uživatelé dostávají po narazili na Jigsaw, nejnovější hrozba ransomwaru. Správně, o čem se nemáte dělat starosti.
Jigsaw šifruje a poté postupně odstraní soubory, dokud není vyplaceno výkupné 150, podle PCWorld. Ransomware odstraní jeden soubor po první hodině a poté smazává stále více a více za hodinu až do 72hodinové značky, když jsou všechny vaše zbývající soubory odstraněny.
Naštěstí již byla zřízena dešifrovačka.com. Podle BleeppingComputeru, zločinci za tímto ransomwarem sledují jejich hrozby, na rozdíl od některých variant v minulosti.
Nyní se pravděpodobně zdá, že se každý týden objevuje nová hrozba ransomwaru. Podle NBC News se rozhodli postavit se proti útokům ransomware prostřednictvím navrhovaného návrhu zákona, který by stíhal kybernetické zločince podle statutu podobného vydírání.
Jak se tedy můžete chránit před ransomwarem? Proaktivní přístup je vaše nejlepší sázka:
- Vzdělávání: Porozumění ransomware je prvním krokem. Schopnost vyhnout se ransomwaru závisí na rozpoznávání a pochopení hrozby, než bude příliš pozdě. Ujistěte se, že všichni ve vaší organizaci rozumí hrozbě a na co by měli dávat pozor.
- Zabezpečení: Antivirový software by měl být považován za nezbytný pro každou firmu chránit před ransomwarem a jinými riziky. Zajistěte, aby byl váš bezpečnostní software také aktuální, za účelem ochrany před nově identifikovanými hrozbami. Udržujte všechny obchodní aplikace opraveny a aktualizovány, aby se minimalizovalo zranitelnosti.
- Zálohování: Moderní řešení na ochranu údajů, jako je Datto, pořizujte snímky založené na přírůstkových zálohách tak často jako každých pět minut, abyste vytvořili řadu bodů obnovy. Pokud vaše firma utrpí útok ransomwaru, tato technologie vám umožní zabalit vaše data do bodu v době, než došlo k korupci.
Jako vždy, přijetí správných preventivních opatření je nejlepší způsob, jak se chránit před jakoukoli formou ransomwaru. V případě, že jste napadeni, nejlepším způsobem, jak se vyhnout placení výkupného, je mít správné řešení pro kontinuitu podnikání a zotavení po katastrofě (BCDR) s aktuálními zálohováními. To vám umožní obnovit vaše data do bodu před infekcí a udržet si vaše vzácná data. Chcete.li se dozvědět více o všech věcech ransomware, včetně běžných typů, jak se šíří a jak tomu zabránit, stáhněte si naši ebook: The Business Guide to Ransomware.
Zastavení pokročilých hrozeb s Datto EDR Managed SoC
Kybernetičtí zločinci se každým dnem chytřejší a hledají nové způsoby, jak zaútočit na zranitelná data vašeho klienta. I s ochranou na místě jsou tito zločinci stále schopni najít způsob, jak zaútočit na data. Ve skutečnosti až 77% pokročilých hrozeb obchází aktuální antivirové produkty. Jako MSP je vaší prací, abyste se ujistili, že máte správná řešení, abyste zabránili těmto typům útoků.
Integrovaná fakturaci zákazníka Autotask
Eliminujte hodiny manuálního usmíření a optimalizujte své příjmy automaticky aktualizací kontraktů Autotask s využitím produktů Kaseya každého zákazníka.
Snižte dopad krypto-ransomwaru detekcí RMM ransomware
Datto RMM Product Manager, ukazuje, jak RMM ransomware detekční monitory pro přítomnost ransomwaru v reálném čase, pokouší se ukončit proces ransomwaru a izolovat infikovaná zařízení ze sítě, aby se zabránilo dalšímu šíření
JIGSAW RANSOMWARE: Smazání souborů namísto jejich šifrování
Ransomware, což je malware, který obsahuje data uživatelů pro výkupné, se ve zprávách stále objevuje. V únoru byl Hollywood Presbyterian uzamčen ze svých elektronických lékařských záznamů (informace o pacientech jsou pro provozování nemocnice důležité), dokud se rozdalo přes 40 bitcoinů, pak pak asi 17K.
Tentokrát je to skládačka. Naši kolegové v Trend Micro odhalili nový typ ransomwaru napsaného někým, kdo se zdá být fanouškem této strašidelné loutky z hororového filmu „Saw“. To, co se dělící odlišuje od většiny ostatních hrozeb ransomwaru, je to, že odstraní soubory, namísto jejich šifrování je.
Jigsaw mazání souborů exponenciálně, počínaje 60 minuty po spuštění programu a mazání „některých“ souborů
- Odstraní více souborů a zvyšuje výkupné každou hodinu
- Pokud restartujete svůj systém nebo zavřete okno Ransom, skládačka odstraní 1 000 souborů.
- Po 72 hodinách to odstraní všechny zbývající soubory
Zdroj: Trend Micro
Zdá se, že Jigsaw má kompromitované systémy, když uživatelé stahovali soubory z bezplatného úložného webu a také byli spojeni s jiným malwarem.
Jak jsem řekl (a další), držení systémů nebo celé sítě rukojmí pro vydírání platby bude pravděpodobně populárním obchodním modelem mezi kybernetickými zločinci. Je to mnohem méně práce a pravděpodobně lepší obchodní model než projít úsilím o sklizeň cenných dat a jejich prodeje na sekundárním trhu.
Dopad na vás
Ransomware je rostoucí hrozba: Podle nové zprávy o porušení dat verizonu z roku 2016 je ransomware druhou nejobvyklejší formou Crimeware. Kybernetičtí zločinci jej budou i nadále používat k vydírání peněz od obětí pro snadné použití a okamžité návratnosti investice.
Centrum stížnosti na internetovou kriminalitu FBI oznámilo mezi dubnem 2014 a červnem 2015, obdrželo stížnosti téměř 1 000 „ransomware“, což obětem stálo ztráty více než 18 milionů.
Jak Alienvault pomáhá
Tým AlienVault Labs pokračuje ve zkoumání a aktualizaci schopnosti USM detekovat aktivitu související s ransomwarem. Minulý týden tým laboratoří aktualizoval schopnost platformy USM detekovat skládačku a několik dalších rodin ransomwaru přidáním podpisů IDS k detekci škodlivého provozu ve vaší síti a korelační směrnice pro propojení událostí z celé sítě, které označují systémy ohrožené Ransomware.
Tyto aktualizace ransomwaru jsou zahrnuty do nejnovější aktualizace AlienVault Threat Intelligence Intelligence nyní:
Vznikající hrozba. Jigsaw ransomware
Jigsaw je nový ransomware, který nejen šifruje vaše soubory, ale také je začne smazat, pokud budete trvat příliš dlouho, než zaplatíte výkupné. V současné době není metoda distribuce tohoto ransomwaru známa. Není to poprvé, kdy ransomware hrozil, že soubory odstraní, ale je to jeden z prvních okamžiků, kdy byl skutečně proveden. Dobrou zprávou je, že metoda dešifrování souborů zdarma již byla zveřejněna.
Přidali jsme podpisy IDS a vytvořili jsme následující korelační pravidlo pro detekci ransomwaru složky:
Kromě toho jsme aktualizovali některá korelační pravidla a přidali jsme nové podpisy IDS pro zlepšení detekce dříve známých rodin ransomware:
- Systémový kompromis, infekce ransomwaru, Coverton
- Kompromis systému, infekce ransomware, torrentlocker
- Kompromis systému, infekce ransomware, neznámý ransomware
- Kompromis systému, infekce ransomwaru, virus
Další informace o široké škále rodin Ransomware naleznete na stránkách Alienvault Open Threat Exchange (OTX) a podívejte se na výzkum, který komunita OTX přispěla:
Seznamte se s Jigsawem, ransomwarem, který posmívá obětem a nabízí živou podporu
- Dan Goodin
- 28/28/2016 20:23
- Kategorie: biz it, politika
Další čtení
Krypto ransomware raketa je vzkvétající firma, která generuje spoustu příjmů, takže má smysl, že pohroma roste. A s novými tituly vstupujícími na trh téměř každý týden, jak se zločinci za nimi vynakládají na jejich malware?
V případě Jigsaw, balíčku ransomware, který byli poprvé spatřeni v dubnu vědci s belphingovým počítačovým zabezpečení. Příklad v bodě: Jigsaw nejen ohrožuje trvalou ztrátu osobních údajů, ale také vyvolává strach, že špinavé prádlo obětí bude zveřejněno, aby všichni viděli. A při oznámení lidem o jejich možnostech používá posměšný tón. Svědkem výše uvedeného snímku z nedávné verze. Uvádí:
Velmi špatné zprávy! Jsem tzv. Ransomware/Locker s následujícími pokročilými funkcemi: Šifrování všech vašich dat. Shromažďování všech přihlášení, kontaktů, e.mailů, hesel a historie Skype. Hotovo! Nahrávání všeho na server. Hotovo! Odeslání kopie těchto dat do všech vašich kontaktů. čekající
Hrozba doxingu, která byla přidána minulý týden, je čistě zlý génius, protože dává obětem silnou motivaci platit výkupné.
„Chci s tebou hrát hru
Jigsaw je již dlouho známá tím, že zesměšňuje své oběti. První verze zobrazovaly zprávu, která řekla: „Chci s vámi hrát hru“ a pak vysvětlila, že „jen několik“ souborů by bylo vymazáno v prvních 24 hodinách po infekci, „několik set“ druhý den a a „Několik tisíc“ na třetí. „Ano, budete chtít, abych příště začal, protože jsem jediný, který je schopen pro vás dešifrovat vaše osobní údaje. Nyní začněme a užijeme si naši malou hru společně!“
Ale faktor creep není jediná věc, která od sebe odděluje. Začátkem tohoto měsíce, podle Trend Micro Researchers, přidal živou podporu, která pomáhá obětem získat bitcoiny potřebné k placení výkupků.
Jigsaw není v žádném případě jediným ransomwarem, který se snaží vyniknout. Nedávno objevená kampaň zaměřená na firemní uživatelé Office 365 přehrává zvukový soubor, který informuje uživatele, že jejich data byla šifrována, a zároveň zobrazuje podobnou zprávu na obrazovce.
Jako vždy by uživatelé počítače měli zůstat velmi ostražití při prohlížení e-mailu a být obzvláště opatrní před zprávami s přílohy, zejména pokud jsou ve formě kódu JavaScript nebo dokumentů Microsoft Word, které žádají, aby byly zapnuty makro funkce. Uživatelé by měli také udržovat svůj operační systém a prohlížeč plně aktualizovaný, aby se zabránilo útokům na stahování. Lidé a podniky by také měli pravidelně vytvářet redundantní zálohy všech svých počítačových souborů.
