Ransomware hrozby

Ransomware -

Ransomware- Ransomware klany

Název

Popis

Risk

ACCDFISA

Poprvé spatřen brzy 2012; Šifruje soubory do chráněné heslem; Počítačoví zločinci za tímto ransomware ptá platby thru Moneypak , Paysafe nebo Ukash obnovit soubory a odemknutí displeje; Známý jako vícesložkový malware balené jako samorozbalovací (SFX) archivu; Může přijít svázaný s aplikací třetích stran, jako je Sdelete a WinRAR.

ANDROIDOS
LOCKER

První mobilní Ransomware spatřen; Používá Tor, legitimní služba, která umožňuje anonymní připojení serveru; Uživatelé s mobilními zařízeními, jichž se tento malware může najít soubory uložené ve svém mobilním zařízení k ničemu a držených jako rukojmí

Bepush

Bepush je malwarová rodina, která se skládá ze škodlivých rozšíření pro prohlížeče a nejčastěji se zaměřuje na Google Chrome a Mozilla Firefox. Tato rozšíření se šíří prostřednictvím URL adres na webových stránkách sociálních sítí, které přesměrují prohlížeč na škodlivé stránky obsahující falešný Adobe Flash video plug-iny nebo aktualizace, které infikují oběti malwarem. Rozšíření mohou sledovat, které stránky uživatel navštívil, přesměrovat na nebezpečné webové stránky a zveřejňovat informace na sociálních sítích jménem uživatele.

Brolo

CERBER

Zkoumá infikovaného systému úzkostlivě: kontroly na přítomnost antivirem, pokud je spuštěna pod virtuální stroj (Parallels, VMware, QEMU, VirtualBox) nebo víno, kontroly na spotřebu energií z různých výzkumných pracovníků a analytiků (to dělá to hledáním některé procesy a soubory na disku), má dokonce černou listinu systém pohonu sériových čísel.Kontroluje rozložení klávesnice a IP adresu infikovaného systému. Pokud se zjistí, že je přístroj umístěn v zemi SNS, zastaví se nakazí ji.
Snaží se vyhnula antivirovou ochranu ukončením své procesy, přerušení služby, mazání souborů.Kromě upozornění uživatelů na šifrování v podobě TXT a HTML souborů, jako je tomu u jiných rodin, ale také provozuje VBS skript, který reprodukuje následující hlasovou zprávu: "Pozor! Pozor! Pozor! Vaše dokumenty, fotografie, databáze a další důležité soubory byly zašifrovány! "

CRIBIT

Podobně jako CRILOCK s jeho použitím šifrování RSA-AES pro cílové soubory; Verze 1 používá RSA-426; Verze 2 používá RSA-1024; Připojí řetězec bitcryp1 (pro verze 1) a bitcrypt2 (pro verze 2) na název rozšíření souborů zašifruje

CRILOCK

Zaměstnává Domain Generation Algorithm (DGA) pro jeho připojení k serveru C & C; Říjen 2013 - UPATRE bylo zjištěno, že část nevyžádané pošty, který stáhne ZBOT, který dále stahování CRILOCK

CRITOLOCK

Používá Advanced Encryption Standard (AES-128) šifrovacího systému; Slovo Cryptolocker je psáno v tapetu využívá změnit tapetu postiženého počítače

CRYPAURA

Šifruje soubory a připojí odpovídající e-mailové adresy kontaktu pro dešifrování souborů; PayCrypt verze připojí .id- {oběť ID}-paycrypt@aol.com~~HEAD=dobj k souborům To zašifruje

CRYPCTB

Zašifruje datové soubory; Zajišťuje, že není obnovení šifrovaných souborů smazáním její stínové kopie; Dorazí přes spam, který obsahuje přílohu, ve skutečnosti downloader tohoto ransomware; Používá sociální inženýrství lákat uživatele k otevření přílohy; Používá Tor maskovat své C & C komunikaci

CRYPDEF

K dešifrování souborů, požádá uživatele, aby zaplatit výkupné v Bitcoin měně

CRYPTCOIN

Šifruje soubory a požaduje uživatelům platit v Bitcoin k dešifrování souborů; Nabízí jednorázový bezplatnou zkušební verzi k dešifrování jeden soubor

CRYPTFILE

Používá jedinečný veřejný klíč vygenerovaný RSA-2048 pro šifrování souborů a také požádá uživatele, aby zaplatit 1 Bitcoin získat soukromý klíč pro dešifrování souborů

CRYPWALL

Hlášeno, že je aktualizovaná verze CRYPTODEFENSE; Používá bitocin měny jako způsob platby; Používá síť Tor pro účely anonymity; Dorazí přes spam, po UPATRE-ZBOT-RANSOM infekce řetězce; CryptoWall 3.0 je dodáván s FAREIT spywarem; Cryptowall 4,0 šifruje název souboru soubory zašifruje a takto aktualizované výkupné, ale také přichází před nevyžádanou poštou jako přílohu JavaScriptu a mohou být staženy pomocí TROJ_KASIDET variant

CRYPTROLF

Ukazuje troll obrazu obličeje po šifrování souborů

CRYPTOP

Stahování GULCRYPT a jeho součásti

CRYPTTOR

Mění tapety na obrázku stěn a žádá uživatelům platit výkupné

Cryptor

Přijíždí přes DOWNCRYPT; Dávkový soubor Ransomware schopné šifrování uživatelských souborů pomocí aplikace GNU Privacy Guard

CRYPSAM

Používá využije na JexBoss otevřené aplikace zdroj serveru a dalších aplikací Java na bázi platformy pro instalaci se v cílených webových aplikačních serverů

CTB-Locker

Virus CTB Locker je nejčerstvější hrozba ransomwarového typu, která se na internetu objevila v průběhu července 2014. Je v podstatě totožný s viry Cryptowall, Cryptolocker, Cryptorbit a některými dalšími a, stejně jako tyto viry, je také velmi nebezpečný. V napadeném počítači zašifruje určité datové soubory, které uživateli opět zpřístupní až poté, co mu daná oběť za odblokování souborů zaplatí.

Critroni

CryptoWall

CryptoWall je velice nebezpečný ransomwarový virus, jenž byl vypuštěn stejnou skupinou kybernetických kriminálníků, která je zodpovědná i za vypuštění ransomwaru Cryptolocker [Cryptolocker], CTB Locker [CTB Locker] atd. Měli byste být obzvláště obezřetní, jste-li uživatelem Windows. Virus CryptoWall má totiž schopnost napadnout jakoukoli jejich verzi. Okamžitě po napadení systému zašifruje všechny soubory a data s pomocí šifrování RSA 2048 a zablokuje uživateli přístup k nim. Pro jejich opětovné zpřístupnění vám virus nabídne možnost zaplatit výkupně (anglicky “ransom”) ve výši 500$.

CryptoWall 4.0

CryptoWall a Cryptowall 4.0 jsou téměř identické počítačové viry, které patří do kategorie ransomware. Hlavní věc na kterou musíte při jednání s těmito ransomwary pamatovat je, že neexistuje žádný Cryptowall decrypter, který by vám mohl soubory opravit a dešifrovat.

Crowti

Crowti je hnusný, škodlivý software, který pracuje pro šifrování osoba má datové soubory včetně obrázků, videa, hudba, Slovo, Vynikat, PowerPoint, atd.. Nemorální osoby odpovědné pak držet všechny své soubory a data pro výkupné a pokračovat, aby se pokusila vydírat peníze od vás.Crowti Obecně se šíří prostřednictvím různých infikovaných příloh k e-mailům, or as another computer infection on systems that already have viruses that provide a back door for even more attacks.

CRYPBOSS

Připojí .crypt k souborům To zašifruje

CRYPDAP

Má živý chat podporu pro postižené uživatele; Dorazí přes spam

CRYPFINI

Dorazí přes spam s makro přílohou, spam zpravidla předstírá, že je žádost o zaměstnání spojené s post Craigslist; Připojí .crinf souborů

CRYPFIRAGO

Používá Bitmessage pro komunikaci s jeho tvůrci; Připojí .1999 nebo .bleep k souborům To zašifruje

CRYPFORT

Napodobuje TorrentLocker / user interface CRYPTLOCK; Používá zástupné znaky k hledání přípony souborů; šifruje soubory ve sdílených složkách

CRYPHYDRA

Na unikly zdrojového kódu CrypBoss založen; Dorazí přes spam

CRYPDIRT

Nejprve viděný v roce 2013 před vznikem Cryptolocker

Crypren

Silně zveřejněny tento týden, ale byl nějakou dobu na trhu.Připojí . Šifrovaného rozšíření do všech ohrožených souborů.Generuje výkupné poznámky s názvem: html

CRYPRADAM

Může přijet přes využití souprav; Připojí .rdm k souborům To zašifruje

CRYPSHED

Nejprve viděný v Rusku; přidal anglický překlad své výkupné na jiné země; Kromě připojením .xtbl k názvu souboru z šifrované soubory, ale také kóduje název souboru, což dotčené uživatele ztratit přehled o tom, co soubory jsou ztraceny

CRYPTRITU

Známý jako ransomware JavaScriptu

CRYPTLOCK

Vydává za CryptoLocker; Novější varianty zobrazení crypt0l0cker v příslušném počítači; používá seznam přípon, které zabraňuje, šifrovacími, ve srovnání s obvyklým ransomware, který používá seznam přípon souborů pro šifrování - to umožňuje CRYPTLOCK šifrování více souborů, ale zároveň zajistit, že postižený počítač stále běží, zajišťující uživatelé vědí, že jejich soubory jsou šifrovány a přístup k internetu zaplatit výkupné je stále přítomen

CRYPTESLA

Uživatelské rozhraní je podobné CryptoLocker; šifruje soubory souvisejících s hrami; Verze 2.1 a 2.2 připojí šifrované soubory s .vvv a .ccc; Verze 3.0 obsahuje vylepšený šifrovací algoritmus a připojí .xxx, .ttt a .mp3 k souborům To zašifruje

CRYPZUQUIT

Známý jako Ransomware-as-a-Service (RAAS) malware

CryptoHitman

Ve skutečnosti nová verze Jigsaw ransomware (vytvořený stejnými vývojáři)
Provádí stejné činnosti jako Jigsaw ransomware; Jediné rozdíly mezi CryptoHitman a skládačky, jsou z velké části, estetického: Nyní používá "Agent 47" z "Hitman" videoherní a filmové série jako jejich loga, a obsahuje obraz tohoto charakteru na obrazovce šatně. Obrazovka skříňku, ale také obsahuje několik pornografické obrázkyPřipojí . Porno rozšíření do všech ohrožených souborů.

CryptoLocker

Cryptolocker je v informatice název škodlivého software (malware), který vydírá uživatele požadavkem na výkupné (tj. ransomware). Cryptolocker se šíří jako trojský kůň skrze infikované přílohy e-mailů. Cílí na operační systémy z rodiny Microsoft Windows a poprvé byl zaznamenán 5. září 2013.

CRYPTORBIT

Detekce pro obrázky, text a HTML soubory, které obsahují výkupné poznámky, které jsou indikátory kompromitovaných (IOC)

CRYPVAULT

Používá GnuPG šifrovací funkce; stahování hackerské nástroje ukrást přihlašovací údaje uložené ve webových prohlížečích; používá sDelete 16 krát, aby se zabránilo / brzdí obnovu souborů; Má portál zákaznické podpory; je dávkový skript krypto-Ransomware

CryptoXXX

Tento Cryptor byl široce distribuovány prostřednictvím využití souprav od dubna 2016. Jeho starší verze obsažené mezery v šifrovacím algoritmu souboru, který umožnil společnosti Kaspersky Lab pro uvolnění nástroj k jejich dešifrování. Bohužel, útočníci dělali úpravy dalších verzích, takže je nemožné dešifrovat soubory ovlivněné pozdějšími úpravami CryptXXX.

CryPy

CRYPWEB

Zašifruje databází v web server dělat webové stránky nedostupné; Používá HTTPS pro komunikaci se serverem C & C; Dešifrovat klíč je k dispozici pouze na serveru C & C

DOWNCRYPT

Dorazí přes nevyžádaných e-mailů; Stahování BAT_CRYPTOR a jeho komponenty, jako návnada dokumentu.

DXXD

FakeBsod

GNL Locker

Dotazuje IP adresu cílového počítače a určit jeho geografickou polohu.Teprve začíná proces šifrování, pokud je přístroj umístěn buď v Německu nebo v Nizozemsku.Připojí . Uzamčený rozšíření do všech ohrožených souborů. Generuje výkupné poznámky pomocí následující názvy souborů a rozšíření: txt,html.

Googo

GULCRYPT

Archivy soubory s určitými příponami; Zanechává výkupné textový soubor obsahující pokyny na koho se obrátit a jak rozbalit archivy, které obsahují soubory uživatele

Hotbar

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

JIGSAW

KeRanger

KeRanger je první malware a ransomware na OS X operační systém. To zašifruje soubory uživatele Mac je pak vyžaduje určitou částku jedné Bitcoin pro dešifrování souborů. Zdálo se, března 2016. K dispozici je spustitelný v DMG , který se tváří jako RTF souboru. Virus spí po dobu tří dnů, poté se spustí pro šifrování souborů. Dodává textový dokument Pokyny k dešifrování souborů. Používá veřejný klíč 2048-RSA pro šifrování souborů. To je ve skutečnosti kopie Linuxs ' Linux.Encoder.1 .

KOLLAH

Jeden z prvních ransomware, která šifruje soubory pomocí určitých názvů rozšíření; Cílové soubory zahrnují dokumenty Microsoft Office, PDF soubory a další soubory považované informací-bohatý a relevantní pro většinu uživatelů; Přidá řetězec GLAMOUR k souborům To zašifruje

KOVTER

Užitečné zatížení útoku týkající se reklamy YouTube, které vedou k pomerančovníku využít sadu

Krypterade

KRYPTOVOR

Část infekce vícesložkové; kromě svého krypto-Ransomware složky, má informace o krádež komponentu, která krade určité soubory, seznam procesů, a zachycuje snímek plochy; používá open source Delphi knihovnu s názvem skříňce 3 šifrování souborů

Locky

Locky je Ransomware, který se šíří jako škodlivý word dokument připojený k nevyžádanému e-mailu. E-maily, které obsahují Locky ransomware obvykle předstírají, že posílají fakturu. Tento škodlivý Word dokument může okamžitě spustit škodlivý šifrovací proces v případě, že jsou povoleny Word makra. Pokud tomu tak není, text ve Wordu se zobrazí jako poškozený soubor, a první řádek tohoto infekčního dokumentu říká: “Povolte makra, pokud je kódování dat nesprávné..” Neměli byste dělat, co říká!

Magnitude

Magnitude EK poprvé plnil titulní stránky novin v říjnu 2013, kdy byli php.net návštěvníky přesměroval na svou stránku. Je aktivní dodnes.Infekce začíná přesměrováním na stránku malwaru Magnitude.Vstupní stránka obsahuje maskovaný JavaScript, který zjišťuje zranitelné plug-iny a snaží se je zneužít.Magnitude zneužívá zranitelnosti ve Flash, Silverlight, PDF a Internet Explorer.

Mischa

Generuje výkupné poznámky pomocí následující názvy souborů a rozšíření:
HTML,TXT.Jedinečný v tom to také šifruje spustitelné soubory.

MATSNU

Backdoor, který má schopnosti obrazovky zamykání; Žádá o výkupné

PETYA

Příčiny modrá obrazovka a zobrazí jeho výkupné při startu systému

PGPCODER

Objeven v roce 2005; První Ransomware vidět

RAA

Někdy se setkáváme Šifrovače, které se liší od svých vrstevníků z hlediska funkčnosti, a někdy neobvyklá implementace bude upoutat pozornost analytik. V případě RAA, výběr programovacího jazyka byl zvědavý: to bylo psáno úplně v JavaScriptu. Celé tělo programu byla zařazena do jediného souboru JS dodané do oběti jako přílohu spamu. Při spuštění se zobrazí falešnou chybovou zprávu, a do té doby, šifruje soubory uživatele.

RANSOM

Reveton

Zámky obrazovky pomocí falešné displej, který varuje uživatele, že porušily federální zákon; Zpráva dále prohlašuje, IP adresa uživatele byl identifikován podle Federálního úřadu pro vyšetřování (FBI) jako na návštěvě webových stránek, které jsou vybaveny nelegálního obsahu

Rokku

RookieUA

RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

RSA4096

RSA4096 je nejnovější iteraci ransomware k zašifrování osobních počítačů a připojených zařízení. To se poprvé objevil v roce 2015 a stejně jako všech malware využívá klíčů, 2 z veřejných a soukromých klíčů. Stejně jako všechny ostatní Ransomware decrytion vyžaduje, včetně soukromých klíčů pomocí Bitcoins koupila prostřednictvím makléřů v temných pásu , z nichž neexistuje žádná záruka, platební výsledky při získávání ty klíče. Existují varianty tohoto viru ", z nichž většina jsou nerozbitné. V závislosti na variantě dodává různá rozšíření k souborům společně s výkupné. Jediný způsob, jak dostat z takového útoku je přes obnovení souborů z externího disku nebo nákup Bitcoins . Náklady na Bitcoins se výrazně zvýšil v průběhu let, který zvýšil hodnotu výkupné. V době psaní výkupné je 300K £ !!!!

Samas

My wonâ€™ t bylo přehnané, když řekneme, že každý den jsme se probudit až po nový kus ransomware právě objevil v přírodě. Bohužel, každý nový výkupné je horší než jeho předchůdce â €“škodlivý, sofistikované a škodlivé. Útoky ještě více stresující a šance výkupné jsou placeni více pravděpodobné, útočníci jsou nyní zaměřené na zdravotnictví, a to se zdá být trvalý trend.

SATANA

Jedná se o kombinaci MBR blokátoru a souborů Cryptor, pravděpodobně inspirovaný podobnými funkcemi ve známém Péťa + Mischa trojské koně. Satana, na rozdíl od Péťa, nezašifruje MFT; Ve skutečnosti, jeho MBR modulu je zjevně neúplný, protože proces kontroly heslo zadané oběť za následek nic jiného, než kontinuální cyklus. Níže je fragment kódu demonstruje to.

Sega2

On Friday 2017-01-20, I checked a malicious spam (malspam) campaign that normally distributes Cerber ransomware. That Friday it delivered ransomware I'd never seen before called "Sage." More specifically, it was "Sage 2.0."

Shujin

By případně mohlo být první Ransomware objeveno, že se zaměřením pouze čínských uživatelů.Všechny přidružené soubory (včetně výkupné poznámky) jsou psány v čínštině.Generuje výkupné poznámky s názvem: 文件解密帮助.txt

SYNOLOCK

Operační systém Využije Synology NAS zařízení "(DSM 4,3-3810 nebo starší) šifrovat soubory uložené v tomto zařízení; Má portál zákaznické podpory

Teerac

Tescrypt

TeslaCrypt, také známý jako-AlphaCrypt, Cryptesla a Tescrypt je jedním z nejrozšířenější šifrovací viry (nebo ransomware) v současné době, ten druhý je CryptoWall. Nedávno jsme byli svědky čerstvě aktualizovanou verzi TeslaCrypt. Tato verze byla šifrování userâ€ ™ s soubory, přidání rozšíření .vvv k nim a přidání how_recover + abc souborů ve více složkách. Jen pár týdnů později, wea€ ™ re již svědky další aktualizovanou verzi TeslaCryptâ€ ™ s .vvv varianta, pomocí ještě silnější šifrování â €“RSA-4096.

TeslaCrypt

TeslaCrypt je další ransomware, který používá metodu šifrování AES, aby zablokoval uživatelům přístup k jejich osobním souborům jako jsou fotografie, dokumenty, atd. Tento virus má také zájem o soubory související s hrami jako Minecraft, World of Warcraft, StarCraft, World of Tanks, Dragon Age, RPG Maker a Steam. Zdá se, že jakmile se dostane do počítače, zaměří se na určité typy souborů a okamžitě je zašifruje. Mezi typy souborů, které mohou být zašifrovány patří: .unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb.

Tobfy

TorrentLocker

TorrentLocker je jedním z největších a nejnebezpečnějších ransomware rodin, které jsme viděli v akci během posledních několika let. TorrentLocker je také známý jako Win32/Filecoder.DI. Dostal své jméno od blogu o iSIGHT Partners v létě 2014.Obvykle TorrentLocker zašifruje victimâ€ ™ s soubory pomocí šifrování algoritmus AES-256 a požaduje platbu v Bitcoin. Průměrná platba je až do 4.081Bitcoins (přibližně 1500 USD), jako zpráva o researchers at ESET.

Troldesh

Urausy

VBUZKY

64-bit Ransomware; Pokusí použít Shell_TrayWnd injekci; Možnost TESTSIGNING Windows 7 umožňuje

VIRLOCK

Infikuje soubory s dokumenty, archivy, a mediální soubory, jako jsou obrázky

Xibow

ZCryptor

Tento malware spojuje funkčnost Cryptor a způsob distribuce červ. Trojan Ransomware není obvykle obsahují nástroje pro self-propagace a ZCryptor jen shodou okolností výjimku z tohoto pravidla. Jako klasický šneku, zatímco infikovat, vytvoří kopie svého těla na vyměnitelná média a generuje soubor autorun.inf pro provádění automatického spuštění svého spustitelného souboru, jakmile je médium připojena k jinému systému (v případě, samozřejmě, je tato funkce není vypnuto).

CryBrazil

MalwareHunterTeam discovered a ransomware called CryBrazil that appends the .crybrazil extension to encrypted files. Uses a nicely designed ransom note.

DBGer Ransomware

The authors of the Satan ransomware have rebranded their "product" and they now go by the name of DBGer ransomware, according to security researcher MalwareHunter, who spotted this new version earlier today. The change was not only in name but also in the ransomware's modus operandi. According to the researcher, whose discovery was later confirmed by an Intezer source code analysis, the new (Satan) DBGer ransomware now also incorporates Mimikatz, an open-source password-dumping utility.

Pedcont ransomware

found a new destrucrtive ransomware called Pedcont that claims to encrypt files because the victim has accessed illegal content on the deep web. The screen then goes blank and becomes unresponsive.

Scarab Ransomware

This crypto ransomware encrypts user data using the AES, and then you want to associate with the extortionists by email, to find out Bitcoin address to which you want to pay a ransom # BTC, to get the decoder and restore files. Original title: DiskDoctor (by extension). A file is written: the Local Security Authority Process.exe or something else. See. Genealogy below. It is written in Delphi. Files can be decrypted!

XiaoBa ransomware

found a new XiaoBa Ransomware variant that uses the .AdolfHitler extension and drops a ransom note named # # DECRYPT MY FILE # #.bmp .

RedEye Ransomware

discovered the RedEye Ransomware, which appends the .RedEye extension and wipes the contents of the files. RedEye can also rewrite the MBR with a screen that gives authors contact info and YouTube channel. Bart also wrote an article on this ransomware detailing how it works and what it does on a system.