ransom-6

Den Scarab Ransomware familj har återigen ökat i och med utgivningen av Grethen (även känd som Grethen Virus) Ransomware, en fil-skåp som kommer att kryptera en mängd olika filtyper och sedan lägger till”.[Grethen (även känd som Grethen Virus)@tuta.io] förlängning av deras namn. Naturligtvis angriparna vill ha betalt i Bitcoin i utbyte för sin dekryptering service. Det finns dock ingen garanti för att betala offren kommer att hamna att få sina filer tillbaka, och det är mycket möjligt att användare som väljer att betala lösen avgift kan hamna förlora båda sina filer och deras pengar.

Scarab Familj är Fortfarande Visar Tecken på Aktivitet

Hot som Grethen Ransomware är ofta levereras till offer via falsk e-postbilagor eller piratkopierad programvara och media — det är starkt rekommenderat att hålla sig borta från skumma filer, såväl som att hålla din dator skyddad av en välrenommerade anti-virus program. Glöm inte att ta itu med konsekvenserna av en ransomware attack är en mycket svår uppgift eftersom det kan vara omöjligt att återställa vissa av dina filer.

Efter Grethen Ransomware fullbordar sin attack, det kommer att släppa två lösen anteckningar för användaren att läsa — ‘LÄSA ME.txt” och ” LÄS MIG.hta’ — både av dem innehåller samma text, och instruktioner om hur du kontaktar anfallare (Grethen@tuta.io och Grethen@protonmail.ch), samt betalningsinformation. Vi skulle inte föreslå följande råd av förövarna, så att inget gott kan komma ut av detta. Den bästa åtgärden att ta är att köra en up-to-date anti-malware scanner som kommer att slutföra Grethen Ransomware avlägsnas. När du tar hand om detta, kan du experimentera med data recovery verktyg och metoder som kan göra det möjligt för dig att ångra några av skadorna på din data

adware-1

STOP Ransomwarefamily består av över hundra fil-kryptering Trojaner och, tyvärr, endast en liten del av dem kan vara knäckt gratis, men bara under vissa omständigheter. Den Nasoh Ransomware (även känd som NasohRansomware) är ett av de senaste tillskotten till STOP s lista över medlemmar, och offren för denna fil-skåp kan vara besviken över att höra att återhämtningen av sina filer kan vara en nästan omöjlig uppgift, om de inte har en reserv kopia av förlorad data.

Den”.nasoh Förlängning Används för att Markera Låsta Filer

När Nasoh Ransomware (även känd som NasohRansomware) genomför sin attack, det kommer att kryptera filer som finns på alla hårddiskar. De filformat som det mål är många, men författarna har sett till att programmera deras ransomware att kryptera några av de mest populära och potentiellt viktigt filformat — dokument, kalkylblad, presentationer, arkiv, bilder, etc. De filer som Nasoh Ransomware lås också kommer att uppleva en mindre ändring av namn, eftersom fil-kryptering Trojan kommer att lägga till den”.nasoh förlängning av deras namn.

En av de sista förändringar som Nasoh Ransomware gäller att infekterade datorer är att skapa filen ‘_readme.txt’ — en omfattande meddelande från förövarna som hävdar att deras krav och ge offret med kontaktuppgifter och ytterligare information. Angriparna använda e-post gorentos@bitmessage.ch och gorentos2@firemail.cc för kontakt och de vill ha betalt $490 för decryptor. De säger att den $490 priset är pr och varar i 72 timmar — efter detta, lösen belopp kommer att fördubblas till $980.

Betala Lösen Avgift kan Få Dig Luras

Vi föreslår att du håller dig borta från förövarna av Nasoh Ransomware eftersom det är osannolikt att de kommer att hjälpa dig även om du uppfyller deras krav. Att skicka pengar till cyberbrottslingar är ett snabbt sätt att bli lurad så att vi skulle råda offer för Nasoh Ransomware att titta in legitima data recovery val.

ransom-3

Den LuckyJoe Ransomware (även känd som LuckyJoeRansomware) är en fil-skåp som upptäcktes på ett ganska intressant sätt — i källkoden för projektet sågs i en anonym PasteBin inlägg. En snabb blick över koden visade att dess syfte var att kryptera filer, och det är endast kompatibel med versioner av Linux. Linux-exklusiva skadlig kod blir en mer och mer vanlig företeelse, och det är verkligen en bra påminnelse om varför Linux-användare bör aldrig underskatta vikten av ett bra antivirus-skydd.

Den LuckyJoe Ransomware (även känd som LuckyJoeRansomware) är programmerad för att kryptera ett brett utbud av filformat och det är viktigt att nämna att det kan användas mot webbservrar eftersom det verkar mål HTML, SQL och PHP-filer. Dessutom går efter PY, JAVA, JSP, och C-filer, som är avsedd att se till att utvecklare kommer att förlora sina projekt på grund av att hotet är fil-kryptering förmågor.

Linux-Exklusiva Fil-Skåp kan vara ett Allvarligt Hot Snart

När LuckyJoe Ransomware initieras, det krävs inte mer än ett par minuter att slutföra fil-kryptering attack. Hotet kommer också att byta namn på filer det låses genom att lägga till förlängning”.GNNCRY.’ Naturligtvis skyldiga till attacken följer de mest populära monetarisering ordningen bland ransomware utvecklare — de erbjuder en dekryptering tjänster i utbyte för Bitcoin. Priset på deras tjänster är 0,05 Bitcoin, och de ger en Bitcoin plånbok postadress för att betalningen ska skickas till. Det är viktigt antydan på att plånboken är tom för tillfället, så det är sannolikt att innebära att LuckyJoe Ransomware har inte lyckats hitta några offer ännu. Angriparna använda e-post canyouseeme1@yandex.ru men det finns inga bevis för att de kommer från Ryssland, trots att du använder en e-tjänst populära i regionen.

Så långt, LuckyJoe Ransomware anses vara omöjligt att dekryptera via kostnadsfritt sätt, men detta kan ändras i framtiden. Om du tror att LuckyJoe Ransomware har låst dina filer, så vi föreslår att du använder ett anti-virus program för att avyttra hot, och sedan återställa dina filer från en säkerhetskopia.

malware-6

Trojan crypto gruvarbetare stå ou sällan eftersom de brukar fungera ett grundläggande syfte — de använder den infekterade datorns hårdvara resurser till gruvan för olika cryptocurrencies, men oftast, Monero är nummer ett val bland cyberskurkar. Dock, en skål med honung som drivs av malware forskare fångat en crypto-miner försöker att utnyttja det nyligen, och den körbara filen: s analys visade att detta gruvarbetare hade några väldigt intressanta egenskaper och förmågor.

Hotet har fått namnet ” Norman (även känd som Norman Virus)”, eftersom detta var ett av de namn som ses i sitt filer ofta. Vid närmare inspektion, märkte forskarna att Norman (även känd som Norman Virus) förpackningar en ovanligt avancerad verktygslåda av knep för att undvika att bli upptäckta av säkerhet verktyg, så väl som för att dölja sin verksamhet.

Norman Förlitar sig på en Multi-Stage-Attack för att Hålla Sin Verksamhet under Radarn Säkerhet verktyg

Norman attack består av tre separata etapper, och några av dem kommer att förändra sitt sätt att arbeta, beroende på den miljö de lanseras i. Dessutom, Norman kommer att spåra användarens aktiviteter och upphöra med sin verksamhet om särskilda villkor är uppfyllda.

Norman Operatör kan också Ha Planterade PHP Bakdörrar på Äventyras System

Det verkar som om hotet skådespelare som distribuerar Norman miner kan också använda en PHP bakdörr skal att få utökade privilegier på den infekterade värdar. Ett företag vars datorer smittats med Norman miner slutade med ett PHP bakdörr skal installerat på dem också. Detta är sannolikt att innebära en av två saker — som antingen angriparna planerar att släppa ytterligare hot, eller så har de använt samma sårbarhet för att släppa en PHP-skal, och sedan distribuera Norman miner.

Som vanligt, skydda ditt system från hot av detta slag kräver att vidta enkla åtgärder för säkerhet — installera en trovärdig anti-virus produkt, kan du uppdatera ditt operativsystem och programvara, och inte ladda ner filer från skumma källor.

ransom-3

Fil-kryptering Trojaner fortsätter att vara den mest populära delen av verktygslådor av cyberbrottslingar — de är enkla att craft tack vare de många open-source-projekt eller ransomware byggare, och de kan distribueras med hjälp av torrent trackers, falska nedladdningar, e-post spam, etc. lätt. En av de populära ransomware familjer är STOP Ransomware, och det har använts för att ge upphov till en lång lista över fil-skåp, varav den senaste är den Nacro Ransomware (även känd som NacroRansomware).

STOP Ransomware Fortsätter att toppa Fil-Skåp Verksamhet Diagram

Den Nacro Ransomware (även känd som NacroRansomware) är inte speciella i termer av funktionalitet, men det gör ett tillräckligt bra jobb för att se till att dess offer kommer att få några tillförlitliga data recovery alternativ till sitt förfogande. När ransomware utför sina attacker, det kommer att börja kryptera dokument, bilder, arkiv, databaser, filmer, och många andra format som användaren kan använda regelbundet. När det låser en fil, ransomware kommer att ändra sitt namn genom att lägga till ‘.nacro förlängning. Den sista förändring som Nacro Ransomware ger är införandet av ”_readme.txt’ lösen meddelande som säger att offret hur du kontaktar de ansvariga och varnar dem att de kommer att behöva köpa en decryptor.

Nacro Operatörerna Lovar att Dubbla Lösen Belopp

Priset för dekryptering service är satt till $490, men angriparna konstatera att detta är priset för de första 72 timmar — efter denna tidsfrist, offer kommer att behöva spendera $980. Naturligtvis, operatörerna av Nacro Ransomware vill använda Bitcoin för betalningar så att deras noten innehåller anvisningar om hur du skaffar och skicka Bitcoins. Sist men inte minst, de använder e-postadresser gorentos@bitmessage.ch och gorentos2@firemail.cc för kontakt.

Vi föreslår att du undviker att samarbeta med förövarna eftersom du kan hamna förlora både pengar och enkelt dina filer. Du bör använda ett anti-malware scanner för att utrota den ransomware, och sedan titta in data recovery options (alternativ) eller återställa dina filer från en säkerhetskopia.

ransom-2

Cyberbrottslingar har fått betala en hel del uppmärksamhet på Internet-of-Things (IoT) enheter under de senaste åren eftersom detta kan visa sig vara en mycket lukrativ om fältet utnyttjas framgångsrikt. På grund av de begränsade resurser som IoT-enheter, angriparna använder dem främst för att bygga botnät som kan tjäna flera syften, men är oftast används för att starta Distributed-Denial-of-Service (DDoS) attacker mot nätverk. Några skurkar kan hyra ut DDoS kraften i sitt botnet, därför ger sig med ytterligare intäkter.

Den Neko (även känd som Neko Virus) Botnät som Fångats av en skål med honung Enhet

En av de måttligt stora IoT-botnät som identifierats i och med 2019 är Neko (även känd som Neko Virus). It-experter först kom över det när en honeypot IoT-enheten var infekterade med Neko malware och blev en del av botnät — dessa honeypots som är utsatta på syfte, därför ökar oddsen för att cyberbrottslingar kommer att infektera den och avslöja sina metoder och verktyg för att forskare omedvetet.

Den Neko Botnet visas att packa några extra funktioner som skulle göra det möjligt att göra mer än att kommandot infekterade värdar att lansera en DDoS-attack. Operatörerna kan också använda det för att exekvera shell-kommandon, avsluta processer, och förekomst av andra skadliga program på den infekterade enheten automatiskt — om man finner några matcher, det kommer att göra offret för en ”förmån” och rensa upp i den andra hot. En del av enhetens tillverkare att Neko Botnet mål är Huawei. GPON, Eir, MVPower och Linksys. Botnät ser också till föråldrad programvara som ThinkPHP och RealtekSDK.

Skydda din IoT-enheter från hot som Neko Botnet kan göras genom att tillämpa den senaste officiella säkerhetsuppdateringar och uppdateringar från produktleverantören regelbundet.

malware-2

Hotet skådespelaren bakom e-postadress mr.yoba@aol.com fortsätter att släppa nya fil-kryptering Trojaner som tillhör olika fil-låsning familjer. Hittills har forskare identifierat två separata prover som använder denna adress — och en är associerad med Cryakl Ransomware familjen, medan andra tycks ha varit kodad från grunden. Det senaste tillskottet till hoten hör till mr.yoba@aol.com hot skådespelaren är YobaCrypt Ransomware (även känd som YobaCryptRansomware).

Hotet Skådespelaren Bakom mr.yoba@aol.com Fortsätter att Experimentera med Fil-Skåp

Den YobaCrypt Ransomware (även känd som YobaCryptRansomware), även kallad Ferrlock Ransomware, har förmågan att kryptera ett brett utbud av filformat. Men dess primära mål att fortsätta att vara filer som är benägna att ha värdefulla innehåll — bilder, dokument, kalkylark, presentationer, arkiv, databaser, etc. När YobaCrypt Ransomware tar en fil som gisslan, det kommer att lägga till förlängning”.[mr.yoba@aol.com].yoba’ till sitt ursprungliga namn. Till exempel krypterad variant av filen ‘cv.xlsx” skulle kunna kallas ‘cv.xlsx.[mr.yoba@aol.com].yoba.’

Naturligtvis, förövarna är ute efter att göra mer än att bara orsaka förödelse — de vill ha betalt, och det är därför de erbjuder sina offer till att köpa en decryptor genom att kontakta dem på mr.yoba@aol.com. Den fullständiga instruktioner av angriparna kan hittas i filen ‘!=How_recovery_files=!.txt’ som YobaCrypt Ransomware kommer att sjunka på skrivbordet så snart den är klar fil-kryptering skede av attacken. Tyvärr, innehållet i filen inte säga mycket annat än den e-postadress som förövaren och det unika ID för offret.

Gratis Dekryptering inte ett Alternativ

Så långt, det finns ingen gratis sätt att dekryptera filerna låst av denna ransomware. Att få en decryptor från angripare kan vara kostsamt, och vi skulle inte rekommendera att samarbeta med dem eftersom det finns en stor chans att de kan försöka lura dig. Det bästa du kan göra om YobaCrypt Ransomware har tagit över dina filer är att köra en pålitlig anti-virus scanner omedelbart, och sedan se till populära data recovery val och verktyg.

ransom-7

STOP Ransomware varianter fortsätter att hota otaliga användare över hela världen och, tyvärr, många användare är fortfarande försumlig när det gäller it-säkerhet och säkerhetskopiering av data. Detta har gjort ransomware hot en mycket lönsam affär för cyberbrottslingar, och det kommer inte som en överraskning att vi fortsätter att stöta på otaliga fil-skåp som Coharos Ransomware (även känd som CoharosRansomware) säkert. Detta STOP Ransomware variant sågs i mitten av augusti, och rapporter från offren visa att det är sannolikt att ha en global räckvidd. Tyvärr, återhämta sig från detta särskilt hot attack kan vara mycket svårt på grund av bristen på en fri dekryptering verktyg — det enda sättet att få tillbaka filerna är säker är att använda decryptor och dekrypteringsnyckeln ägs av förövarna.

STOP Ransomware Tillväxten Fortsätter

Tyvärr, operatörerna av Coharos Ransomware (även känd som CoharosRansomware) är inte villiga att lämna uppgifter för dekryptering tjänsten gratis, och deras offer kommer att få en gisslan anteckning via fil ‘_readme.txt.’ Det instruerar dem att betala $490 att en Bitcoin plånbok som ägs av angriparna, och då meddelandet dem på gorentos@bitmessage.ch eller gorentos2@firemail.cc för ytterligare detaljer. Tyvärr, du kommer aldrig veta om angriparna kommer att hålla sitt löfte, och det är inte en bra idé att skicka pengar till cyberbrottslingar säkert.

Vi rekommenderar att offren för Coharos Ransomware att förfoga över den hotande program genom att använda en välrenommerade anti-malware lösning. Men, borttagning av fil-skåp löser bara halva problemet — filerna kommer fortfarande att vara krypterad, och offren kommer att behöva hitta en fungerande data recovery metod eller programvara svit. Även om du inte lyckas återställa dina data, råder vi dig att bevara det eftersom det finns en liten chans att en decryptor för Coharos Ransomware kan komma att bli tillgängliga i framtiden.

malware-5

Den Maoloa Ransomware familj är definitivt inte lika stor och hotfull som den Dharma Ransomware eller STOP Ransomware, men det är fortfarande används av cyberbrottslingar för att skapa olika fil-skåp som Hermes666 Ransomware (även känd som Hermes666Ransomware). Just denna ransomware stam har släppts ut i naturen under olika namn, och hotet aktörer bakom det visas att använda en rad olika metoder för att markera den krypterade filer av sina offer .Ox4444, .Alco4444, .Tiger4444, .Pig4444, .Horse4444,.Ares666, .Persephone666, .Hades666 och andra.

Om du märker något av dessa tillägg lagts till namnen på dina filer, då är det troligt att du har blivit ett offer för Hermes666 Ransomware (även känd som Hermes666Ransomware) eller någon av dess varianter. Tyvärr, detta kan vara ett svårt problem att lösa på grund av avsaknaden av en gratis dekryptering verktyget är kompatibel med Maoloa Ransomware eller dess varianter.

Den Hermes666 Ransomware Operatörerna Vill ha en Bitcoin Betalning

I fallet med Hermes666 Ransomware, användare kommer att märka att deras filer har haft det”.Hermes666 ” tillagt i slutet av deras namn. En annan förändring som den här filen-kryptering Trojan är känd för att ta med är HUR man får TILLBAKA DIN FILES.txt’ gisslan anteckning som finns på skrivbordet. Enligt dess innehåll, offer är att kontakta eladovin1975@protonmail.com om de vill ha en chans att återhämta sig sina filer. Tyvärr, kontakta förövarna inte kommer att leda till ett positivt resultat — hot aktörer bakom Hermes666 Ransomware projektet vill ha en rejäl Bitcoin ersättning i utbyte mot deras hjälp, men du kan vara säker på att skicka Bitcoins till cyber skurkar är inte ett klokt beslut.

De bästa steg att ta är att börja med att köra en anti-virus scanner för att eliminera hot och förhindra det från att orsaka några andra frågor. Detta kommer dock inte att ångra den skada dina filer, och du kommer att behöva leta efter alternativa fil restaurering alternativ.

malware-10

Cloud Atlas APT (Advanced Persistent Threat) grupp (även känd som APT41) fortsätter att hota användare i Indien, Ryssland, Vitryssland, tjeckien, Bulgarien, Turkiet, Belgien och Usa. Deras primära mål är religiösa organisationer, såväl som företag som är verksamma inom flygindustrin och offentliga organ. Koncernens verksamhet har varit spårade sedan 2014, och de har infört en hel del av it-hoten under fem års verksamhet. En av de anmärkningsvärda Trojaner som gruppen används för att förlita sig på är ofta PowerShower, en enkel bakdörr som gör det möjligt för angriparen att lansera VBS och PowerShell komponenter på den infekterade värden. Det verkar dock som att den här funktionen har ersatts av en förnyad och förbättrad version som går under namnet VBShower (även känd som VBShower Virus) — PowerShower används fortfarande, men Cloud Atlas group verkar för att utnyttja dess funktioner för att i ett senare skede av attacken.

Cloud Atlas ” Bakdörr Täcker Dess Spår innan du Tar Del i Skadligt Beteende

Flera saker gör VBShower (även känd som VBShower Virus) sticker ut som ett stort hot som kan vara i stånd att undandra antivirus lösningar. När VBShower bakdörr distribueras till en dator (oftast via en skadad makro-skript som är inbäddad i en Microsoft Office-dokument), det kommer att börja genom att utplåna alla temporära filer i Microsoft Word: s katalog i %APPDATA%. Då det gäller en grundläggande förändring till Windows Registret för att ge sig själv uthållighet. Efter detta, följer upp genom att ansluta till remote Command & Control server och väntar på instruktioner — Cloud Atlas group verkar för att skicka VBS moduler för att utföra varje timme.

Polymorfa Struktur Hjälper VBShower s Försök att Undandra sig AV Verktyg

It-experterna var förvånad över att se att VBShower bakdörr har en polymorf struktur — varje prov ses som en ‘unik’ fil med ett antivirusprogram, och detta kan göra det svårt att upptäcka dess skadliga egenskaper automatiskt. Så långt, VBShower har använts för att genom Inflytande Atlas att driva två bitar av skadlig kod — PowerShower bakdörr, och en okategoriserade backdoor Trojan.

Som vanligt, är det bästa sättet att skydda datorer från hot av detta slag är att undvika att hämta misstänkta filer, särskilt om de kommer från icke-trovärdiga källor. Naturligtvis bör du också använda dig av skydd för tjänster som erbjuds av de bästa anti-malware produkter.