Ransomware Phishing email-
Ransomware Varianty:
Zde je několik variant Ransomware byste měli být vědomi (příručky nejprve publikoval: 17. prosince 2015, poslední aktualizace: 27. ledna 2016):
CryptoLocker - uvolněna na začátku září 2013, který je určen pro všechny verze Windows včetně Windows XP, Windows Vista, Windows 7 a Windows 8.13
Cílená typy souborů: * .odt, * ODS * .odp, * .odm, * .odc, * .odb, * .doc, * .docx, * DOCM, WPS *, * .xls, *. xlsx, * XLSM, * XLSB, * .xlk, * .ppt, * PPTX, * .pptm, * .mdb, * .accdb, * .pst, * .dwg, * .dxf, * .dxg, * WPD, * .rtf, * .WB2, * MDF, * .dbf, * .psd, * .pdd, * .pdf, * .eps, * .ai, * .indd, * .cdr, *. jpg, * .jpe, * .jpg, * .DNG, * .3fr, * .arw, * .srf, * .sr2, * .bay, * .CRW, * CR2, * .dcr, * .kdc, * .erf, * .mef, * .mrw, * .NEF, * .nrw, * .orf, * .raf, * .raw, * .rwl, * .rw2, * .r3d, * .ptx, *. PEF, * .srw, * .x3f, * .der, * .cer, * .crt, * .PEM, * .pfx, * .p12, * .p7b, * .p7c. 14
Šifrovací algoritmus: AES pro šifrování souborů, RSA pro šifrování AES klíč15
Dešifrování nástroj k dispozici? Ano 16
Jak se nakazit: přílohu ve zprávě phishing 17
Bude platit dešifrování souborů? Ano, ale může trvat 3-4 hodiny. To bylo hlásil, že proces dešifrování může dát chybu s tím, že nemůže dešifrovat soubor. Bude však pokračovat v dešifrování souborů. 18
Klikněte zde pro další pomoc
CryptoWall - propuštěn na konci dubna 2014, který je určen pro všechny verze Windows včetně Windows XP, Windows Vista, Windows 7 a Windows 8. 19
Cílená typy souborů: .sql, .mp4, .7z, .rar, .m4a, WMA, AVI, WMV, CSV, .d3dbsp, .zip, .sie, .sum, .ibank, .t13,. T12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, BKF, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, SVG, .map, .wmo, .itm, .sb, .fos, MOV, .vdf, .ztmp, SIS, .sid , .ncf, .menu, .layout, .dmp, .blob, .esm, VCF, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk,. ráfek, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm , .bik, .epk, .rgss3a, .pak, .big, peněženky, .wotreplay, .xxx, .desc, .py, M3U, .flv, JS, CSS, .rb, .png, jpeg , .txt, .p7c, .p7b, .p12, .pfx, .PEM, .crt, CER, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl,. syrový, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, CR2, .CRW, .bay, .sr2, .srf, .arw, .3fr, .DNG, .jpe, JPG, CDR, .indd, .ai, .eps, .pdf, .pdd, .psd, DBF, MDF, .WB2, RTF, WPD, .dxg, .xf, .dwg , PST, .accdb, MDB, .pptm, PPTX, PPT, .xlk, XLSB, XLSM, XLSX, XLS, WPS, DOCM, DOCX, DOC, .odb,. ODC, .odm, .odp, ODS, .odt 20
Šifrovací algoritmus: RSA pro šifrování souborů 21
Dešifrování nástroj k dispozici? Ještě ne.
Jak se nakazit: nejčastěji šíří prostřednictvím e-mailu jako přílohu a z infikovaných webových stránek, které projdou na virus 22
Bude platit dešifrování souborů? Ano, ale dešifrování proces bude chvíli trvat.
Klikněte zde pro další pomoc
OphionLocker - se objevila v prosinci 2014. 23
Jak se nakazit: . Předpokládá se, že šíří prostřednictvím on-line reklamních kampaní, které hlupák uživatele ke kliknutí na ploše webové stránky, které pak přebírá svém počítači 24
Jak se vyhnout detekci: používá Tor zamaskovat komunikaci mezi ní a jejími rozkazech a jejich řídících serverů.
Cílená typy souborů: * .3fr, * .accdb, * .arw, * .bay, * .cdr, *. cer, * CR2, * .crt, * .CRW, * .dbf, * .dcr, * .der, * .DNG, * .doc, * DOCM, * .docx, * .dwg, * .dxf, * .dxg, * .eps, * .erf, * .indd, * .jpe, * .jpg, * .kdc, * .mdb, * MDF, * .mef, * .mp3, * .mp4, *. MRW, * .NEF, * .nrw, * .odb, * .odm, * .odp, * ODS * ODT, * .orf, * .p12, * .p7b, * .p7c, * .pdd, * .pef, * .PEM, * .pfx, * .ppt, * .pptm, * PPTX, * .psd, * .pst, * .ptx, * .r3d, * .raf, * .raw, *. rtf, * .rwl, * .srf, * .srw, * .txt, * .WB2, * WPD, * WPS, * .xlk, * .xls, * XLSB, * XLSM, * .xlsx
Dešifrování nástroj k dispozici? Ještě ne.
Šifrovací algoritmus: ECC
Ransom: se liší od země k zemi. Většina webů říci 1 BTC
Klikněte zde vidět, co se stane, když jste infikovaný (screenshotů)
Smazání dat? Není bezpečně odstranit soubory nebo odebrat Stínová kopie
CTB Locker (Curve-Tor-Bitcoin Locker): Také známý jako Critroni nebo cibule.Povolený v polovině července 2014, který je určen pro všechny verze Windows včetně Windows XP, Windows Vista, Windows 7 a Windows 8. 25.
Šifrovací algoritmus: ECC
Dešifrování nástroj k dispozici? Ještě ne.
Výše Ransom: 3 BTC (cca $ 630).
Jak se nakazit: šíří prostřednictvím e-mailu. Po otevření přiložený soubor klesá užitečné zatížení, který provádí šifrování rutiny na všech souborů počítače.
Klikněte sem a sem pro větší podporu
VaultCrypt - propuštěn kolem února 2015, to představuje z tohoto ransomware jsou jeho použití dávkových souborů Windows a open source GnuPG soukromí software k moci velmi efektivní šifrování souborů techniku 26
Cílená typy souborů: .cd, MDB, .1cd, DBF, .sqlite, JPG, ZIP, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc 27
Dešifrování nástroj k dispozici? Ještě ne.
Šifrovací algoritmus: RSA-1024 veřejné a soukromé dvojice klíčů k šifrování souborů 28
Klikněte zde a zde se po větší podpoře
TeslaCrypt - se zaměří na všechny verze Windows včetně Windows XP, Windows Vista, Windows 7 a Windows 8. TeslaCrypt byla vydána nejprve kolem konce února 2015. 29
Typy souborů cílené podle TeslaCrypt: .7z, .rar, .m4a, WMA, AVI, WMV, CSV, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, BKF, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, SVG, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, SIS, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, 0,001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, M3U, .flv, JS, CSS, .rb, PNG, JPEG, TXT , .p7c, .p7b, .p12, .pfx, .PEM, .crt, CER, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw,. raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, CR2, .CRW, .bay, .sr2, .srf, .arw, .3fr, .DNG, .jpe, JPG, CDR, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, MDF, .WB2, RTF, WPD, .dxg, .xf, .dwg, PST , .accdb, MDB, .pptm, PPTX, PPT, .xlk, XLSB, XLSM, XLSX, XLS, WPS, DOCM, DOCX, DOC, .odb, .odc,. ODM, .odp, ODS, .odt
Dešifrování nástroj k dispozici? Ano, podívejte se na Cisco nástroj Talos Teslacrypt
Algoritmus šifrování: šifrování AES
Klikněte zde pro další pomoc
AlphaCrypt: Vypadá to, že TeslaCrypt, se chová jako CryptoWall 30
Typy souborů cílené alfa krypty: .sql, .mp4, .7z, .rar, .m4a, WMA, AVI, WMV, CSV, .d3dbsp, .zip, .sie, .sum, .ibank,. T13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, BKF, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, SVG, .map, .wmo, .itm, .sb, .fos, MOV, .vdf, .ztmp, .sis , .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, VCF, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor,. PSK, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf , .slm, .bik, .epk, .rgss3a, .pak, .big, peněženky, .wotreplay, .xxx, .desc, .py, M3U, .flv, JS, CSS, .rb, .png , JPEG, TXT, .p7c, .p7b, .p12, .pfx, .PEM, .crt, CER, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2,. RWL, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, CR2, .CRW, .bay, .sr2, .srf, .arw, .3fr, .DNG, .jpe, JPG, CDR, .indd, .ai, .eps, .pdf, .pdd, .psd, DBF, MDF, .WB2, RTF, WPD, .dxg, .xf , .dwg, PST, .accdb, MDB, .pptm, PPTX, PPT, .xlk, XLSB, XLSM, XLSX, XLS, WPS, DOCM, DOCX, DOC,. ODB, .odc, .odm, .odp, ODS, .odt
Algoritmus šifrování: šifrování AES
Dešifrování nástroj k dispozici? Ještě ne.
Klikněte zde pro další pomoc
LowLevel04 - první spatřen v říjnu 2015
Jak se nakazit: útoku hrubou silou na počítačích, které mají vzdálené plochy nebo Terminálové služby nainstalovány a slabá hesla 31
Typy souborů cílené: .3fr, DBF, .dcr, .dwg, DOC, .der, .erf, EPS, JPG, MP3, MP4, .mef, .mrw, MDF, .bay,. BCK, .bkp, .bcp, CDR, MID, .NEF, .nrw, .dat, .dxg, .DNG, PPTX, .pptm, .jpe, .kdc, MDB, JPEG, .indd, DOCX, DOCM, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, PST, PPT, RTF, .rw2, .odt , ODS, .PEM, .sql, .xls, .xml .xlk, WPD, WAV, .WB2, WPS, .x3f, .zip, XLSB, .arw, BMP, CER,. CRW, CR2, .crt, dXF, .r3d, .srf, .sr2, .srw, .p12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, XLSX, XLSM, exe, bad, .lpa, SYS, DLL, MSI, .ie5, .ie6, .ie7, .ie8, .ie9, .ini, INF, LNK , SCR, .com, ICO, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip
Algoritmus šifrování AES 32 a RSA-2048 šifrování 33
Výše Ransom : výkupné požadovali je dvojnásobek "normální" 500 $ a vyžaduje 4 Bitcoin 34
Dešifrování nástroj k dispozici? Ještě ne
Jak obnovit soubory: jediný způsob, jak obnovit své soubory je ze zálohy, že se snaží Hlasitost kopie stín, nebo tím, že zaplatí výkupné. Předpokládá se, že tato Ransomware je součástí založený Ransomware rodiny partnerský, které se běžně mění e-maily spojené s výkupného poznámkami. 35
Chimera - V listopadu, nová Ransomware variantě Chimera Kromě šifrování souborů a požadují výkupné, aby se uvolnil dešifrovací klíč, tento nový malware model zahrnuje publikování těchto souborů na internetu, pokud výkupné nezaplacen. 36 Nicméně, přesně podle Anti Botnet Advisory Center , nic nenasvědčuje tomu, k dnešnímu dni, že detaily něčí byly zveřejněny. 37
Cílená Typy souborů: JPG, JPEG, .vmx, TXT, XML, XSL, WPS, .cmf, VBS, .accdb, .ini, CDR, SVG, .conf, .cfg,. config, .WB2, .msg, .azw, .azw1, .azw3, .azw4, LIT, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .PEM, CER, .key, .der, MDB, hTM, HTML, .class, .java, .cs, ASP, ASPX, .cgi, .h, cpp, .php, .jsp, BAK, .dat, PST , EML, .xps, .sqllite, .sql, JS, JAR, .py, WPD, .crt, CSV, .prf, CNF, .indd, .number, .pages, LNK,. PO, .dcu, .pas, .dfm, .directory, PBK, .yml, .dtd, .rll, lib, .cert, .p12, CAT, INF, .mui, .props, .idl, .result, .localstorage, OST, .DEFAULT, .json, db, .sqlite, log, BAT, ICO, DLL, exe, .x3f, .srw, .pef, .raf, .orf , .nrw, .NEF, .mrw, .mef, .kdc, .dcr, .CRW, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf,. ARW, CR2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .DNG, .dxf, .dwg, .psd, ps, PNG, .jpe, BMP, GIF, TIFF, GFX, .jge, TGA, .jfif, EMF, .3dm, .3ds, .max, obj, .a2c, .dds, .pspimage, .yuv, .zip , .rar, .gzip, .vmdk, MDF, .iso, bIN, .podnět, DBF, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri,. cdi, .ptx, .ape, AIF, WAV, ram, RA, M3U, .movie, .mp1, MP2, MP3, MP4, .mp4v, MPA, MPE, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, AMR, .mkv, .dvd, .mts, .qt, .vob, .3ga, Ts, .m4v, .rm, .srt , .aepx, .camproj, .dash, TXT, DOC, DOCX, DOCM, ODT, ODS, .odp, .odf, .odc, .odm, .odb, RTF, XLSM,. xlsb, .xlk, XLS, XLSX, PPS, PPT, .pptm, PPTX, PUB, .epub, .pdf
Dešifrování nástroj k dispozici? Ještě ne
Výše Ransom: 4 bitcoins ($ 865) pro dešifrování souborů 38
Způsob komunikace: Chimera používá Bitmessage aplikace peer-to-peer zpráv pro komunikaci mezi počítačem oběti a velení a řízení serveru malwaru vývojáře. Tím se vytvoří dešifrovací službu, která je neuvěřitelně přenosné, bezpečné a obtížné, ne-li nemožné, sundat, protože všechny vrstevníci v síti pomáhají distribuovat klíče. 39
Klikněte sem a sem pro větší podporu
Torrentlocker - propuštěn kolem konce srpna 2014, který je určen pro všechny verze Windows včetně Windows XP, Windows Vista, Windows 7 a Windows 8.40
Cílená typy souborů: * .WB2, * .psd, * .p7c, * .p7b, * .p12, * .pfx, * .PEM, * .crt, * .cer, * .der, * pl, *. py, * .lua, * .css, * JS, * ASP, * php, * .incpas, * .asm, * .hpp, * .h * .cpp, * .c, * .7z, * .zip, * .rar, * .drf, * .blend, * .apj, * .3ds, * .dwg, * .sda, * .ps, * PAT, * .fxg, * .fhd, *. FH, * .dxb, * .drw, * .design, * .ddrw, * .ddoc, * .dcs, * .csl, * .csh, * .cpi, * CGM, * .CDX, * .cdrw, * .cdr6, * .cdr5, * .cdr4, * .cdr3, * CDR, * .awg, * .ait, * .ai, * .agd1, * .ycbcra, * .x3f, * .stx, *. ST8, * .st7, * .st6, * .st5, * .st4, * .srw, * .srf, * .sr2, * .sd1, * .sd0, * .RWZ, * .rwl, * .rw2, * .raw, * .raf, * .ra2, * .ptx, * .pef, * .pcd, * .orf, * .nwb, * .nrw, * .nop, * .NEF, * .ndd, *. MRW, * .mos, * .mfw, * .mef, * .mdc, * .kdc, * .kc2, * .iiq, * .gry, * .grey, * .gray, * FPX, * .fff, * .exf, * .erf, * .DNG, * .dcr, * .dc2, * .CRW, * .craw, * CR2, * .cmt, * .cib, * .ce2, * .ce1, *. ARW, * .3pr, * .3fr, * .mpg, * .jpeg, * .jpg, * .mdb, * .sqlitedb, * .sqlite3, * .sqlite, * .sql, * SDF, * .sav, * .sas7bdat, * .s3db, * .rdb, * .psafe3, * .nyf, * .nx2, * .nx1, * .nsh, * .nsg, * .nsf, * .nsd, * .ns4, *. NS3, * .ns2, * .myd, * .kpdx, * .kdbx, * .idx, * .ibz, * .ibd, * .fdb, * .erbsql, * .db3, * .dbf, * .db- časopis, * .db, * .cls, * .bdb, * .al, * .adb, * .backupdb, * .bik, * .backup, * .bak, * .bkp, * .moneywell, * .mmw, * .ibank, * .hbk, * .ffd, * .dgc, * .ddd, * .dac, * .cfp, * .CDF, * * .bpw, * .bgt, * .acr, * .ac2, *. AB4, * .djvu, * .pdf, * .sxm, * .odf, * .std, * .sxd, * .otg, * .sti, * .sxi, * .otp, * .odg, * .odp, * .stc, * .sxc, *, * .ots ODS, * .sxg, * .stw, * .sxw, * .odm, * .oth, * .ott, * ODT, * .odb, *. csv, * .rtf, * .accdr, * .accdt, * .accde, * .accdb, * .sldm, * .sldx, * PPSM, * PPSX, * .ppam, * .potm, * POTX, * .pptm, * PPTX, PPS, * POT, * .ppt, * .xlw, * .xll, * .xlam, * .xla, * XLSB, * .xltm, * .xltx, *. xlsm, * XLSX, * .xlm, * .xlt, * .xls, * .xml, * dotm, * .dotx, * DOCM, * .docx, * .dot, * .doc, * .txt
Jak se vám nakazit? Přes e-maily, které předstírají, že jsou lodní oznámení, řízení nebo překročení povolené rychlosti porušování nebo jiné firemní / vládní korespondenci.
Výše Ransom: začíná na zhruba 550 dolarů USD - které mají být zaplaceny v bitcoins a stoupá asi po 3 dnech
Algoritmus šifrování : AES šifrování souborů oběti a asymetrické šifry RSA pro zašifrování klíče AES.
Dešifrování nástroj k dispozici? Ještě ne
Klikněte zde pro další pomoc
Ransom32 - první Ransomware napsaný v JavaScriptu. A i když jsme viděli jen Ransom32 ve formátu Windows, by to mohlo být snadno balí tak, aby dopad na operační systémy Mac a Linux. To je také nabízena jako Ransomware-as-a-Service (RAAS). Nachází se na TOR, může kdokoliv stáhnout a distribuovat své vlastní kopii ransomware. Je to velmi snadné připojit jako pobočka této RAAS - vše, co je potřeba, je Bitcoin adresu.
cílená Typy souborů: JPG, JPEG, .raw, TIF, GIF, PNG, BMP, .3dm, .max, .accdb, db, DBF, MDB, PDB, .sql,. * sav *. * SPV *. * grle *. * MLX *. * SV5 *. * hra *. * slot * .dwg, .dxf, .c, cpp, .cs,. h, .php, ASP, .rb, .java, JAR, .class, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, ps, SVG, SWF, FLA, .as3, .as, .txt DOC, dot, DOCX, DOCM, .dotx, dotm, .docb, RTF, WPD, WPS, .msg, .pdf, XLS, XLT, .xlm, XLSX,. xlsm, .xltx, .xltm, XLSB, .xla, .xlam, .xll, .xlw, PPT, POT, PPS, PPTX, .pptm, POTX, .potm, .ppam, PPSX, PPSM, .sldx, .sldm, WAV, MP3, AIF, .iff, M3U, .m4u, MID, MPA, WMA, RA, .avi, .mov, .mp4, .3gp , MPEG, .3g2, ASF, ASX, FLV, MPG, WMV, VOB, .m3u8, CSV, .efx, SDF, VCF, XML, .ses, .dat
Bude platit výkupné dešifrování souborů? Ano. Dalším zajímavým a Novinkou Ransom32 je, že tam je "Životní zkouška" funkce. Předtím, než budete platit výkupné, útočník dokazuje na oběti, které poté, co výkupné nezaplatí, soubory lze dešifrovat
Klikněte zde se dozvíte více