Fidye Yazılımını DURDUR
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Sıralama: Belirli bir tehdidin EnigmaSoft'un Tehdit Veritabanındaki sıralaması.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
Sıralama: | 116 |
Tehlike seviyesi: | 100 % (Yüksek) |
Etkilenen Bilgisayarlar: | 358,443 |
İlk görüş: | November 29, 2018 |
Son görülen: | March 7, 2024 |
Etkilenen İşletim Sistemleri: | Windows |
PC güvenlik araştırmacıları, 21 Şubat 2018'de STOP Ransomware olarak bilinen bir tehdidi içeren fidye yazılımı saldırılarına ilişkin raporlar aldı. STOP Ransomware, açık kaynaklı bir fidye yazılımı platformuna dayanır ve şifreleme fidye yazılımı saldırısının tipik bir sürümünü gerçekleştirir. STOP Fidye Yazılımı, bozuk dosya ekleri içeren istenmeyen e-posta iletileri kullanılarak dağıtılır. Bu dosya ekleri, STOP Fidye Yazılımını kurbanın bilgisayarına indiren ve yükleyen gömülü makro komut dosyalarına sahip DOCX dosyaları biçimini alır. Kimlik avı e-postalarının nasıl tanınacağını öğrenmek ve alınan istenmeyen dosya eklerini indirmekten kaçınmak, bu saldırılardan kaçınmanın yollarından biridir.
İçindekiler
DUR Fidye Yazılımı Enfeksiyonu Nasıl Tespit Edilir
STOP Fidye Yazılımı kurbanın bilgisayarına yüklendikten sonra, STOP Fidye Yazılımı kurbanın sürücülerinde çok çeşitli dosya türleri için arama yapar ve genellikle görüntüler, medya dosyaları ve çok sayıda başka belge türü gibi kullanıcı tarafından oluşturulan dosyaları arar. STOP Ransomware, genellikle bu makinelerde açıkça bulunan veritabanı dosyalarını ve benzer dosya türlerini aradığından, Web sunucularını hedef alacak şekilde tasarlanmış gibi görünüyor. STOP Ransomware'in saldırısında arayacağı ve hedef alacağı dosya türleri şunları içerir:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.
Kötü Amaçlı Yazılım Bölüm 10'da Bu Hafta: DUR & Zorab Fidye Yazılımı, Fake Decryptor ile Kurbanları Sömürüyor
STOP Fidye Yazılımı, kurbanın dosyalarının her birine erişilemez hale getirmek için güçlü bir şifreleme algoritması kullanır. Fidye Yazılımını DURDUR saldırısı, etkilenen dosyaları işaretlemenin bir yolu olarak şifrelediği dosyalara '.SUSPENDED' dosya uzantısını ekler.
STOP Ransomware’in Fidye Notu
STOP Fidye Yazılımı, kurbanın bilgisayarına bir fidye notu göndererek bir fidye ödemesi talep eder. Bu fidye notu, kurbanın masaüstüne bırakılan bir metin dosyasında görüntülenir. Dosya '!!! YourDataRestore !!!.txt,' şu mesajı içerir:
'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.STOP uzantılı tüm dosyalar şifrelenir. Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, stopfilesrestore@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!YourDataRestore!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli bir 1-3 bize gönderebilir, orijinal bir biçimde ÜCRETSİZ olarak geri gönderebilirsiniz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[RANDOM KARAKTERLER]
Bize ulaşmak için e-posta adresi:
stopfilesrestoret@bitmessage.ch
Bize ulaşmak için e-posta adresini rezerve edin:
stopfilesrestore@india.com'
STOP Fidye Yazılımından sorumlu kişiler, Bitcoin kullanılarak belirli bir Bitcoin cüzdan adresine ve 72 saat içinde ödenmek üzere 600 USD fidye ödemesi talep ediyor. Ancak, bu kişilerle iletişime geçmek veya Fidye Yazılımı DURDUR fidyesini ödemek en iyi çözüm olmayabilir.
Verilerinizi STOP Fidye Yazılımlarından ve Diğer Fidye Yazılım Truva Atlarından Koruma
DUR Fidye Yazılımına ve diğer fidye yazılımı Truva Atlarına karşı en iyi koruma, dosya yedeklemelerine sahip olmaktır. Dosyalarının yedek kopyalarına sahip bilgisayar kullanıcıları, bir saldırıdan sonra fidye ödemeye başvurmadan bu dosyaları kolayca kurtarabilirler. Önerilen bir güvenlik programı, aynı zamanda, Fidye Yazılımını DURDUR'un ilk etapta yüklenmesini de önleyebilir.
6 Aralık 2018 Güncellemesi — 'helpshadow@india.com' Fidye Yazılımı
'helpshadow@india.com' Fidye Yazılımı, STOP Ransomware markasını taşıyan kod için nispeten küçük bir güncelleme olarak sınıflandırılmıştır. Tehdit yazarları, düşük bir enfeksiyon oranı elde ettiği için yeni varyantı cilalamak için yeterli zaman ayırmamış görünüyor. 'helpshadow@india.com' Fidye Yazılımı, AV satıcıları tarafından hızla alındı ve büyük sosyal platformlar ve siber güvenlik raporları aracılığıyla uyarılar yayınlandı. Ne yazık ki, henüz ücretsiz şifre çözme imkanı yoktur. Kullanıcılar genellikle e-posta ile alınan bozuk bir belge aracılığıyla tehlikeye girer. Tehdidin, Windows tarafından oluşturulan Gölge Birimi anlık görüntülerini sildiği ve şifrelenmiş nesnelere '.shadow' uzantısını eklediği bilinmektedir. Örneğin, 'C12-H22-O11.pptx', 'C12-H22-O11.pptx.shadow' olarak yeniden adlandırılır ve masaüstünde '!readme.txt' adlı bir fidye notu görünür. 'helpshadow@india.com' Fidye Yazılımının, virüslü kullanıcılara aşağıdaki mesajı göstermesi muhtemeldir:
'TÜM DOSYALARINIZ ŞİFRELİ
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc
Kişisel kimliğiniz:
[rastgele karakterler]'
Yukarıda gösterilen metin, 'helpshadow@india.com' Fidye Yazılımından daha önce yayınlanan varyantlar tarafından kullanılmaktadır ve kayda değer tek değişiklik, yeni e-posta yapılandırmasıdır. 'helpshadow@india.com' Fidye Yazılımı, e-posta bağlantılarından birinin adını alır ve diğeri, kullanıcıları aynı kullanıcı adına ancak farklı bir e-posta platformuna yönlendirir - 'helpshadow@firemail.cc'. Bu makale size ulaşana kadar her iki e-posta hesabının da feshedilmesi muhtemeldir. Fidye yazılımı operatörlerinin kontrol cihazlarını gizlemek için proxy'ler, VPN hizmetleri ve TOR Ağı kullandığı düşünüldüğünde, helpshadow@india.com'un Fidye Yazılımının arkasındaki kişiyi yakalama şansı çok yüksek değil. Bu nedenle, kullanıcıların verilerini savunmada proaktif olmaları gerekir. Birinci adım — sisteminize bir yedekleme programı kurun; ikinci adım — bilinmeyen göndericilerden gelen dosyaları açmayın. Veri yedeklerinizi çıkarılabilir bir bellek deposuna veya bir dosya barındırma hizmetine aktarmayı unutmayın.
13 Aralık 2018 Güncellemesi — '.djvu Dosya Uzantısı' Fidye Yazılımı
'.djvu Dosya Uzantısı' Fidye Yazılımı, 12 Aralık 2018'de bildirilen STOP Fidye Yazılımının yeni bir çeşididir. Bilgisayar güvenlik araştırmacıları, '.djvu Dosya Uzantısı' Fidye Yazılımını STOP Fidye Yazılımının önceki sürümlerine yönelik küçük bir güncelleme olarak sınıflandırır ve tehdidin öncelikle spam e-postalar yoluyla dağıtıldığı konusunda uyarın. Tehdit aktörleri, kullanıcıları programlarını sessizce yüklemeleri için kandırmak için makro özellikli belgeler ve sahte PDF'ler kullanıyor. '.djvu Dosya Uzantısı' Fidye Yazılımına yönelik saldırılar, Şubat 2018'deki ilk enfeksiyon dalgasıyla neredeyse aynı. Tehdit, kullanıcının verilerini şifrelemeden önce Gölge Birimi anlık görüntülerini ve bellek sürücülerine bağlı haritaları siler. Yeni varyant, farklı bir dosya uzantısını destekler ve fidye notu biraz değiştirilir. Adından da anlaşılacağı gibi, dosyalar '.djvu' son ekini alır ve 'Jonne-Kaiho.mp3' gibi bir şey 'Jonne-Kaiho.mp3.djvu' olarak yeniden adlandırılır. Fidye notu masaüstünde '_openme.txt' olarak görülebilir ve şöyledir:
'TÜM DOSYALARINIZ ŞİFRELİ
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc
Kişisel kimliğiniz:
[rastgele karakterler]'
Tehdit yazarları, fidye yazılımı kampanyaları için 'helpshadow@india.com' ve 'helpshadow@firemail.cc' e-posta hesaplarını kullanmaya devam ediyor. STOP Ransomware ekibine güvenmeyin ve yukarıda bahsedilen sahte %50 indirimi kullanmaktan kaçının. Burada tartışılan tehdit aktörleri, hoşgörüleriyle tanınmazlar. PC kullanıcıları, güvenilir bir kötü amaçlı yazılımdan koruma aracı kullanarak '.djvu Dosya Uzantısı' Fidye Yazılımını kaldırmalıdır. Verilerinizi kurtarmak için yedek imajları ve yedekleme hizmetlerini kullanmak en iyisidir.
11 Ocak 2019 Güncellemesi — '.tfude Dosya Uzantısı' Fidye Yazılımı
'.tfude Dosya Uzantısı' Fidye Yazılımı, 11 Ocak 2019'da çıkan STOP Fidye Yazılımının bir sürümüdür. Tehdit, orijinal siber tehdide kıyasla minimum değişiklik gösteren bir sürüm olarak sınıflandırılır. '.tfude Dosya Uzantısı' Fidye Yazılımı, bozuk kodundaki tek dikkate değer değişiklikten sonra adlandırılmıştır. Truva atı, '.tfude' dosya uzantısını şifrelenmiş verilere ekleyecek şekilde yapılandırılmıştır. '.tfude Dosya Uzantısı' Fidye Yazılımı, güvenlik uzmanlarının güvenliği ihlal edilmiş kullanıcılara ücretsiz şifre çözme sunmasını engelleyen standart şifreleme teknolojilerini ve Komut sunucularına güvenli bağlantılar kullanmaya devam ediyor.
Eldeki kripto tehdidi, devlet kurumlarının ve Google Inc. gibi şirketlerin veri iletimlerini güvence altına almak için kullandığı şifreleme teknolojilerini kullanır. Şifrelenmiş dosyalar, Windows gezgininde genel beyaz simgeler olarak görüntülenir ve kullanıcının yüklediği programlar işlevsel kalır. Ancak, tehdit popüler veritabanı biçimlerini kodladığı için bazı veritabanı yöneticileri düzgün çalışmayabilir. Örneğin, 'Son satışlar.pdb', 'Son satışlar.pdb.tfude' olarak yeniden adlandırılmıştır. Fidye notu, masaüstünde bulunabilen '_openme.txt' dosyasından Not Defteri'ne yüklenir. '.tfude Dosya Uzantısı' Fidye Yazılımı, orijinal Truva Atı ile aynı mesajı sunar, ancak bu sefer tehdit aktörleri, kullanıcılara ulaşmak için 'pdfhelp@firemail.cc' e-posta hesabını kullanıyor. Kullanıcılar için ücretsiz bir şifre çözücü yoktur ve kurtarmak için veri yedeklemelerini kullanmanız gerekecektir. Saygın bir kötü amaçlı yazılımdan koruma aracıyla tam bir sistem taraması yaparak virüslü cihazları temizlemeniz gerekecektir.
23 Ocak 2019 Güncellemesi — 'pausa@bitmessage.ch' Fidye Yazılımı
'pausa@bitmessage.ch' Fidye Yazılımı, STOP Ransomware Builder ile üretilen bir dosya kodlayıcı kötü amaçlı yazılımdır. 'pausa@bitmessage.ch' Fidye Yazılımı, Mayıs 2018'in ilk haftasında istenmeyen e-postalar aracılığıyla PC kullanıcılarına sunuldu. 'pausa@bitmessage.ch' Fidye Yazılımı, virüslü bilgisayarlardaki verilerin üzerine yazan ve hacmi silen genel bir şifreleme Truva Atı olarak algılanır. kurtarmayı engellemek için anlık görüntüler. 'pausa@bitmessage.ch' Fidye Yazılımının Cerber ve Dharma gibi diğer başarılı Fidye Yazılımlarıyla aynı şifreleme teknolojilerini kullandığı bilinmektedir. 'pausa@bitmessage.ch' Fidye Yazılımı, AppData dizini altındaki Temp klasöründen çalışacak ve belgelere, videoya, müziğe, veritabanlarına ve e-kitaplara güvenli bir AES-256 şifresi uygulayacak şekilde programlanmıştır. Kodlanmış veriler '.PAUSA' uzantısını alır ve 'Hartmann-Save me.mp3' gibi bir şeyin adı 'Hartmann-Save me.mp3.pausa' olarak değiştirilir. Fidye bildirimi, kullanıcının masaüstüne '!!RESTORE!!!.txt' olarak kaydedilir ve şunları okur:
'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.PAUSA uzantılı tüm dosyalar şifrelenir.
Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, pausa@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!RESTORE!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli dosyaları bize 1-3 arası gönderebilirsiniz, biz de size orijinal biçiminde ÜCRETSİZ olarak geri göndeririz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[rastgele karakterler]
Bize ulaşmak için e-posta adresi:
pausa@bitmessage.ch
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
pausa@india.com'
'pausa@bitmessage.ch' ve 'pausa@india.com' e-posta hesapları aracılığıyla tehdit aktörleriyle pazarlık yapmaktan kaçınmanızı öneririz. Saygın bir kötü amaçlı yazılımdan koruma aracının yardımıyla veri yedeklemelerini başlatmak ve sisteminizi temizlemek daha güvenlidir. 600 dolarlık saçma fidyeyi ödeseniz bile, bir şifre çözücü alacağınızın garantisi yoktur. PC kullanıcılarının ayda en az iki kez veri yedeklemesi yapmaları ve güvenlikten ödün verilmesine yol açabilecek istenmeyen iletileri görmezden gelmeleri önerilir. AV şirketleri, 'pausa@bitmessage.ch' Fidye Yazılımı için algılama kurallarını destekler, ancak bu yazının yazıldığı sırada ücretsiz bir şifre çözücü mevcut değildir.
23 Ocak 2019 Güncellemesi — 'waiting@bitmessage.ch' Fidye Yazılımı
'waiting@bitmessage.ch' Fidye Yazılımı, STOP Fidye Yazılımına dayalı bir şifreleme Truva Atı'dır. 'waiting@bitmessage.ch' Fidye Yazılımı, güvenliği ihlal edilmiş kullanıcılar tarafından 18 Nisan 2018'de bildirildi ve bilgisayarları bozuk Microsoft Word belgeleri aracılığıyla istila ediyor gibi görünüyor. 'waiting@bitmessage.ch' Fidye Yazılımı, virüslü bilgisayarlardaki fotoğrafları, sesleri, videoları ve metinleri şifrelemek için kaydedilir. Ne yazık ki, kötü amaçlı yazılım yazarları, Windows'un verilerinizi korumak için yaptığı birim anlık görüntülerini silmek için bir komut ekledi. Truva Atı, hedeflenen verilerin üzerine '.WAITING' uzantısını taşıyan ve sisteminizde yazılımla açılamayan dosyalarla yazar. Örneğin, 'Hartmann-Like a River.mp3', 'Hartmann-Like a River.mp3.waiting' olarak yeniden adlandırılır ve masaüstünüze bir fidye mesajı düşer. 'waiting@bitmessage.ch' Fidye Yazılımı masaüstüne '!!!INFO_RESTORE!!!.txt' yazar ve aşağıdaki metni gösterir:
'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.WAITING uzantılı tüm dosyalar şifrelenir.
Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, wait@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!INFO_RESTORE!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli dosyaları bize 1-3 arası gönderebilirsiniz, biz de size orijinal biçiminde ÜCRETSİZ olarak geri göndeririz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[rastgele karakterler]
Bize ulaşmak için e-posta adresi:
bekliyor@bitmessage.ch
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
bekliyor@india.com'
Kötü amaçlı yazılım, üçüncü taraf yedekleme araçlarına müdahale etmez ve veri yedeklemelerini önyükleyebilmeniz gerekir. 'waiting@bitmessage.ch' ve 'waiting@india.com' e-posta adresleri aracılığıyla tehdit aktörleriyle etkileşimden kaçınılması önerilir. Veri yedeklemelerinizi ağdan bulaşan siber tehditlere ve 'waiting@bitmessage.ch' Fidye Yazılımı gibi çoğu Fidye Yazılımı türevine karşı korumak istiyorsanız, dosya barındırma hizmetlerini keşfetmek ilginizi çekebilir.
Güncelleme 25 Kasım inci 2019 - .zobm ve .rote Uzantıları
Güvenlik araştırmacıları, 24 Kasım ve 25 Kasım 2019'da STOP Ransomware'in birkaç yeni çeşidiyle karşılaştı. Fidye yazılımı çeşitleri, .zobm ve .rote uzantılı şifrelenmiş dosyalar ekledi, ancak _readme.txt adlı aynı bir fidye notuna sahipti. Tehdit aktörlerine ulaşılabilecek e-postalar da aynıydı – datarestorehelp@firemail.cc ve datahelp@iran.ir.
DİKKAT!
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Fotoğraflar, veritabanları, belgeler ve diğer önemli dosyalar gibi tüm dosyalarınız en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Ne garantileriniz var?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir.
Videoya genel bakış şifre çözme aracını alabilir ve inceleyebilirsiniz:
https://we.tl/t-4NWUGZxdHc
Özel anahtar ve şifre çözme yazılımının fiyatı 980 dolar.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur, bu sizin için fiyat 490$'dır.
Lütfen verilerinizi ödeme yapmadan asla geri yüklemeyeceğinizi unutmayın.
6 saatten fazla yanıt alamazsanız, e-postanızın "Spam" veya "Önemsiz" klasörünü kontrol edin.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
datarestorehelp@firemail.cc
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
datahelp@iran.ir
Kişisel kimliğiniz:
[rastgele karakterler]
2019 ve Ötesinde Fidye Yazılımlarını DURDURUN
2019 yılının sonlarında, STOP fidye yazılımı hala kullanılıyor ve yeni saldırı vektörleri test ediliyordu. STOP fidye yazılımı, oyunlar ve yazılımlar için kırılmış yürütülebilir dosyaları barındırdığını iddia eden web sitelerinde bulabileceğiniz, başta reklam yazılımı olmak üzere diğer kötü amaçlı yazılım türlerini içeren paketler halinde görünmeye başladı. Bu şekilde, fidye yazılımının yeni kurbanlarının çoğu, kimin umduklarından fazlasını elde ettiğini arayan umutlu yazılım korsanları olduğu ortaya çıktı.
Ayrıca, STOP fidye yazılımının, çeşitli oturum açma kimlik bilgilerini sıyırabilen parola çalan Truva atları yüklediğine dair kanıtlar da var.
Fidye yazılımı, kullandığı şifreli dosya uzantılarının uzun listesini de genişletti. STOP fidye yazılımı tarafından şifrelenen dosyalar artık .rumba ve .tro uzantılarını aldı. Şimdiye kadar çok az şey değişti - fidye notu hala "_openme.txt" adlı bir dosyada bulundu, ancak fidye tutarı 980 dolara çıktı ve kurban enfeksiyondan sonraki ilk 72 saat içinde ödeme yaparsa 490 dolara düştü .
24 Mart 2020 Güncellemesi – Yeni Varyantlar
STOP Fidye Yazılımının arkasındaki tehdit aktörleri, 2019'da olduğu gibi 2020'de de, kurbanların dosyalarını şifreleyen ve bunlara çeşitli yeni uzantılar ekleyen yeni varyantlarla yorulmadan çalışıyorlar. STOP Ransomware'in yeni uzantılarından bazıları .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd ve .foop'u içerir.
.lokd varyantıyla birlikte gelen bir fidye notu örneği aşağıdaki metni içeriyordu:
DİKKAT!
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Fotoğraflar, veritabanları, belgeler ve diğer önemli dosyalar gibi tüm dosyalarınız en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Ne garantileriniz var?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir.
Videoya genel bakış şifre çözme aracını alabilir ve inceleyebilirsiniz:
https://we.tl/t7m8Wr997Sf
Özel anahtar ve şifre çözme yazılımının fiyatı 980 dolar.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur, bu sizin için fiyat 490$'dır.
Lütfen verilerinizi ödeme yapmadan asla geri yüklemeyeceğinizi unutmayın.
6 saatten fazla cevap alamazsanız, e-postanızın ''Spam'' veya ''Önemsiz'' klasörünü kontrol ediniz.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpdatarestore@firemail.cc
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpmanager@mail.ch
Kişisel kimliğiniz:
[rastgele karakterler]
Tehdit aktörlerinin bu yeni varyantlarla birlikte kullandığı diğer e-postalar helpmanager@iran.ir ve helpmanager@firemail.cc'dir.
SpyHunter Fidye Yazılımını DURDUR'u Algılar ve Kaldırır
Fidye Yazılımını DURDUR Ekran Görüntüsü
Dosya Sistemi Detayları
# | Dosya adı | MD5 |
Tespitler
Tespitler: SpyHunter tarafından bildirildiği üzere, virüs bulaşmış bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
|
---|---|---|---|
1. | BB30.exe | f8ef98bbaff6ac82dacde20ee90bfa55 | 4,204 |
2. | 5F1F.exe | b5b59a34192343da2c0fc84fb3bb6b2e | 3,154 |
3. | 3ffa.exe | a0192bd5d8164e61819890e908fa0e7d | 1,890 |
4. | 97DE.tmp.exe | 4e8f1415dd3366f81fa3960db4cf70f9 | 1,772 |
5. | 1368.tmp.exe | 8cebee5086592386fa86f3ee5bacc0d2 | 1,647 |
6. | 9686685955.exe | 5c71f8c3bb000d163fc2e63c089b35a1 | 1,630 |
7. | a395.tmp.exe | 536f955ae69e666b44aac54c7619b9b1 | 1,589 |
8. | 3823.TMP.EXE.WPT | d4fceee0f4fe0f1b50a5c957eab5151b | 1,500 |
9. | 512B.tmp.exe | 89b1b4f3f6ec190865abaa7f61046ee5 | 1,255 |
10. | 3344.exe | 6a4d9e0ad2a5361dd947537182f5692d | 1,240 |
11. | d5e2.tmp.exe | 4c1b9a14dda6a74b7abff708758d98f6 | 1,038 |
12. | B117.tmp.exe | 283bf952e656763a94626cac01d7bc85 | 979 |
13. | 25b9.tmp.exe | 9bd737b220a4040dbcaf17f48be54a98 | 825 |
14. | 3A93.tmp.exe | d5995275a4d96672ed08cc6188143a7a | 773 |
15. | 2c6b.tmp.exe | ac2dffb783aed99d77ecc2006a29d971 | 744 |
16. | 618.tmp.exe | 99ba307185c56cfb6d9ea965fcfef083 | 719 |
17. | 160f.tmp.exe | 3a1a3c4b4b3de474b574f48198d6e41e | 647 |
18. | 1df7.tmp.exe | ad5a82caee53510fafcdfcddfa74daae | 54 |
19. | 5cd3.tmp.exe | 1569c3b648b4c63ae39ddc2d2d91b7d5 | 14 |
20. | e5cb.tmp.exe | 031ff93d3e55a84f475cf0b563fe7f65 | 14 |
21. | 5dcc.tmp.exe | e3b973420daf30a4180f60337a2eaf90 | 14 |
22. | 6fa4.tmp.exe | 67e8f528b4db3443a74718443a2fc788 | 12 |
23. | cc0.tmp.exe | 0564489cff6c549ca82b7a470b305346 | 11 |
24. | c11d.tmp.exe | a0eb1e740d92c51576ed117d8b6de3c5 | 11 |
25. | ransomware.exe | fdc340769c3ca364f6cc7ca1be99762b | 0 |
Kayıt defteri detayları
dizinler
Fidye Yazılımını DURDUR, aşağıdaki dizini veya dizinleri oluşturabilir:
%ALLUSERSPROFILE%\tzjajmmqgl |
%PROGRAMFILES%\3DMarkproed |
%PROGRAMFILES%\3DMarkproediot |
%PROGRAMFILES%\3DMarkproedit |
%PROGRAMFILES%\3Dmarkproa |
%PROGRAMFILES%\Blubnerg |
%PROGRAMFILES%\Cry\Cryp |
%PROGRAMFILES%\Davai |
%PROGRAMFILES%\Glary\Utilities\Settings |
%PROGRAMFILES%\Hyps |
%PROGRAMFILES%\Innovativ\ddd |
%PROGRAMFILES%\Ivp\bin |
%PROGRAMFILES%\Laertseer |
%PROGRAMFILES%\Lawer\Xor |
%PROGRAMFILES%\Marg\Cr |
%PROGRAMFILES%\Mup\Cr |
%PROGRAMFILES%\Opute |
%PROGRAMFILES%\Rondom |
%PROGRAMFILES%\Sir\Air |
%PROGRAMFILES%\Tryhd |
%PROGRAMFILES%\cedfs |
%PROGRAMFILES%\chrum\xon\note |
%PROGRAMFILES%\company\3dmarkssdf |
%PROGRAMFILES%\company\64Product |
%PROGRAMFILES%\crights\file\xml |
%PROGRAMFILES%\cryptoss |
%PROGRAMFILES%\crys\cry |
%PROGRAMFILES%\crysp\cryq |
%PROGRAMFILES%\der\supr |
%PROGRAMFILES%\dera\kii |
%PROGRAMFILES%\ferr\seda\sx\bin |
%PROGRAMFILES%\hop |
%PROGRAMFILES%\inner\win\bin |
%PROGRAMFILES%\krontal |
%PROGRAMFILES%\laert |
%PROGRAMFILES%\laerts |
%PROGRAMFILES%\lass\inst |
%PROGRAMFILES%\lastpass\bur\tronfiles |
%PROGRAMFILES%\lawop |
%PROGRAMFILES%\lawops |
%PROGRAMFILES%\margin\marg |
%PROGRAMFILES%\opur |
%PROGRAMFILES%\sccsd |
%PROGRAMFILES%\sir\xd |
%PROGRAMFILES%\virtka |
%PROGRAMFILES%\xery |
%PROGRAMFILES%\youtubedown |
%PROGRAMFILES(x86)%\3DMarkproed |
%PROGRAMFILES(x86)%\3DMarkproediot |
%PROGRAMFILES(x86)%\3DMarkproedit |
%PROGRAMFILES(x86)%\3Dmarkproa |
%PROGRAMFILES(x86)%\Blubnerg |
%PROGRAMFILES(x86)%\Cry\Cryp |
%PROGRAMFILES(x86)%\Davai |
%PROGRAMFILES(x86)%\Hyps |
%PROGRAMFILES(x86)%\Innovativ\ddd |
%PROGRAMFILES(x86)%\Laertseer |
%PROGRAMFILES(x86)%\Lawer\Xor |
%PROGRAMFILES(x86)%\Marg\Cr |
%PROGRAMFILES(x86)%\Mup\Cr |
%PROGRAMFILES(x86)%\Opute |
%PROGRAMFILES(x86)%\Rondom |
%PROGRAMFILES(x86)%\Sir\Air |
%PROGRAMFILES(x86)%\Tryhd |
%PROGRAMFILES(x86)%\cedfs |
%PROGRAMFILES(x86)%\chrum\xon\note |
%PROGRAMFILES(x86)%\company\3dmarkssdf |
%PROGRAMFILES(x86)%\company\64Product |
%PROGRAMFILES(x86)%\crights\file\xml |
%PROGRAMFILES(x86)%\cryptoss |
%PROGRAMFILES(x86)%\crys\cry |
%PROGRAMFILES(x86)%\crysp\cryq |
%PROGRAMFILES(x86)%\der\supr |
%PROGRAMFILES(x86)%\dera\kii |
%PROGRAMFILES(x86)%\ferr\seda\sx\bin |
%PROGRAMFILES(x86)%\hop |
%PROGRAMFILES(x86)%\inner\win\bin |
%PROGRAMFILES(x86)%\krontal |
%PROGRAMFILES(x86)%\laert |
%PROGRAMFILES(x86)%\laerts |
%PROGRAMFILES(x86)%\lass\inst |
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles |
%PROGRAMFILES(x86)%\lawop |
%PROGRAMFILES(x86)%\lawops |
%PROGRAMFILES(x86)%\margin\marg |
%PROGRAMFILES(x86)%\opur |
%PROGRAMFILES(x86)%\sccsd |
%PROGRAMFILES(x86)%\sir\xd |
%PROGRAMFILES(x86)%\virtka |
%PROGRAMFILES(x86)%\xery |
%PROGRAMFILES(x86)%\youtubedown |
%ProgramFiles%\kiss\me |
%ProgramFiles%\mroz\new\trunk |
%ProgramFiles(x86)%\kiss\me |
%ProgramFiles(x86)%\mroz\new\trunk |