Ransomware

GREEDYFATHER es un tipo de ransomware, un software malicioso que cifra datos en la computadora de una víctima y exige un rescate por descifrarlos. Este artículo proporcionará una comprensión integral del ransomware GREEDYFATHER, sus métodos de infección, las extensiones de archivo que agrega, el cifrado que utiliza, la nota de rescate que crea y las posibles herramientas y métodos de descifrado. GREEDYFATHER Ransomware añade el .GREEDYFATHER extensión de los nombres de archivo de los archivos cifrados. Por ejemplo, un archivo llamado 1.jpg sería renombrado a 1.jpg.GREEDYFATHER. El algoritmo de cifrado específico utilizado por el ransomware GREEDYFATHER no se menciona explícitamente en los resultados de la búsqueda. Sin embargo, el ransomware suele utilizar algoritmos de cifrado potentes, como AES (Advanced Encryption Standard) o RSA (Rivest-Shamir-Adleman), para cifrar archivos. Estos métodos de cifrado son prácticamente irrompibles sin la clave de descifrado correcta. Después de cifrar los archivos, GREEDYFATHER crea una nota de rescate llamada GREEDYFATHER.txt en cada directorio que contiene los archivos cifrados. La nota asegura a la víctima que los archivos cifrados se pueden restaurar y les indica que envíen un par de archivos bloqueados a los atacantes para una prueba de descifrado. También advierte contra el uso de herramientas de descifrado gratuitas.

Ljaz Ransomware es un tipo de software malicioso que cifra archivos en la computadora de una víctima, haciéndolos inaccesibles. Luego, los atacantes exigen un rescate, a menudo en forma de criptomonedas, a cambio de proporcionar la clave de descifrado o la herramienta necesaria para desbloquear los archivos cifrados. Ljaz Ransomware agrega el .ljaz extensión de archivo de los archivos cifrados. Ljaz Ransomware crea una nota de rescate en un archivo de texto llamado _readme.txt. Esta nota suele contener instrucciones sobre cómo pagar el rescate para obtener la clave o herramienta de descifrado. La familia STOP/Djvu Ransomware utiliza el algoritmo de cifrado Salsa20 para cifrar los archivos de la víctima. También utiliza cifrado RSA, que es uno de los métodos de cifrado más utilizados por los grupos de ransomware. El ransomware comienza su cadena de ejecución con varios niveles de ofuscación diseñados para ralentizar el análisis de su código por parte de analistas de amenazas y entornos sandbox automatizados.

Ljuy Ransomware es un tipo de malware que pertenece a la familia Djvu. Está diseñado para infiltrarse en un sistema informático, cifrar archivos y luego exigir un rescate por descifrarlos. El ransomware utiliza un algoritmo de cifrado robusto conocido como Salsa20, que es común entre todos los demás miembros de la familia de ransomware STOP/Djvu. Una vez dentro de un sistema, Ljuy ransomware cifra los archivos y agrega su extensión (.ljuy) a nombres de archivos. Por ejemplo, cambia 1.jpg a 1.jpg.ljuy, 2.png a 2.png.ljuy, etcétera. Ljuy ransomware crea un archivo de texto llamado _readme.txt, que sirve como nota de rescate. Esta nota contiene información de pago y contacto. Informa a la víctima que sus archivos, incluidas imágenes, bases de datos, documentos y otros datos cruciales, han sido cifrados utilizando un algoritmo potente y sólo pueden recuperarse mediante la compra de una herramienta de descifrado.

BuLock Ransomware es un tipo de software malicioso o malware que cifra archivos en la computadora o red de una víctima, haciéndolos inaccesibles. Luego, los atacantes exigen un rescate a la víctima a cambio de la clave de descifrado para desbloquear los archivos. El ransomware también se conoce como Crypto Virus o Files Locker debido a sus capacidades de cifrado. BuLock Ransomware agrega el .bulock16 extensión de los archivos que cifra. El dígito de la extensión puede variar según la variante del ransomware. BuLock Ransomware utiliza una combinación de algoritmos criptográficos RSA y AES para cifrar archivos. Estos son métodos de cifrado sólidos que dificultan el descifrado de archivos sin la clave de descifrado específica. BuLock Ransomware crea una nota de rescate llamada HOW_TO_BACK_FILES.html. Esta nota informa a la víctima que su red ha sido comprometida y sus archivos encriptados. También advierte que los atacantes han extraído datos confidenciales de la red, que amenazan con venderlos o filtrarlos en línea si no se paga el rescate. La nota también ofrece a la víctima la posibilidad de probar el descifrado de 2 o 3 archivos antes de pagar el rescate.

Hhaz Ransomware es un tipo de software malicioso que cifra los datos de un usuario, haciéndolos inaccesibles. Es una variante asociada con la familia de ransomware Djvu. El ransomware altera los nombres de los archivos añadiendo el .hhaz extensión y crea un archivo de texto llamado _readme.txt eso incluye una nota de rescate. Por ejemplo, se transforma 1.jpg dentro 1.jpg.hhaz, 2.png dentro 2.png.hhaz, etcétera. El ransomware Hhaz utiliza el algoritmo de cifrado Salsa20. Si Hhaz no puede establecer una conexión con su servidor antes de iniciar el proceso de cifrado, utiliza una clave fuera de línea. Esta clave es la misma para todas las víctimas, lo que potencialmente permitirá descifrar archivos .hhaz en el futuro. La nota de rescate garantiza a la persona objetivo que sus archivos bloqueados se pueden recuperar adquiriendo una herramienta de descifrado y una clave específica. El costo de descifrar los datos se establece en $980, con un descuento del 50% disponible si las víctimas contactan a los actores de la amenaza dentro de un período de 72 horas. La nota subraya la absoluta imposibilidad de recuperación de datos sin realizar el pago estipulado.

Hhuy Ransomware es una variante de la famosa familia de ransomware STOP/DJVU. Cifra imágenes, documentos y otros archivos importantes en computadoras infectadas, volviéndolos inaccesibles. Luego, el ransomware exige un rescate, que generalmente oscila entre $ 490 y $ 980, pagadero en Bitcoins, para descifrar los archivos. Hhuy ransomware se dirige a una amplia gama de extensiones de archivos, incluidas, entre otras, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .pdf y .psd. Una vez que se cifra un archivo, el ransomware agrega el .hhuy extensión al nombre del archivo, lo que hace imposible abrirlo con cualquier programa. Hhuy ransomware utiliza el algoritmo de cifrado Salsa20. Aunque no es el método más potente, proporciona una cantidad abrumadora de posibles claves de descifrado, lo que hace que los ataques de fuerza bruta sean prácticamente imposibles con la tecnología informática actual. Tras el cifrado exitoso, el ransomware Hhuy crea una nota de rescate llamada _readme.txt. Esta nota suele contener instrucciones sobre cómo pagar el rescate, junto con información de contacto de los atacantes, normalmente en forma de direcciones de correo electrónico.

Nbwr Ransomware es un tipo de malware de cifrado de archivos que pertenece a la familia Djvu. Es un software malicioso que cifra los datos del usuario, haciéndolos inaccesibles. El ransomware modifica los nombres de los archivos añadiendo el .nbwr extensión y genera un archivo de texto (_readme.txt) que contiene una nota de rescate. La nota de rescate asegura a la víctima que sus archivos cifrados se pueden restaurar comprando una herramienta de descifrado y una clave única. El precio del descifrado de datos suele ser alto, con un descuento del 50% disponible si se contacta a los actores de amenazas dentro de las 72 horas. El ransomware Nbwr utiliza el algoritmo de cifrado Salsa20. Este método proporciona una cantidad abrumadora de posibles claves de descifrado, lo que hace que los ataques de fuerza bruta sean prácticamente imposibles. La nota de rescate asegura a la víctima que sus archivos cifrados se pueden restaurar comprando una herramienta de descifrado y una clave única.

GrafGrafel es un tipo de ransomware, un software malicioso que cifra datos y exige un rescate por descifrarlos. Es parte de la familia de ransomware Phobos. El ransomware GrafGrafel se dirige a archivos locales y compartidos en red, sin afectar los archivos críticos del sistema. Una vez que GrafGrafel ransomware infecta una computadora, cifra los archivos y altera sus nombres. A los títulos originales se les añade una identificación única asignada a la víctima, la dirección de correo electrónico de los ciberdelincuentes y un .GrafGrafel extensión. Por ejemplo, un archivo inicialmente llamado 1.jpg aparecería como 1.jpg.id[G7RF34WQE-5687].[GrafGrafel@tutanota.com].GrafGrafel siguiente cifrado. Aún se desconoce el algoritmo de cifrado específico utilizado por el ransomware GrafGrafel. Sin embargo, el ransomware suele utilizar algoritmos de cifrado potentes que solo pueden desbloquearse mediante un código de descifrado que sólo el atacante conoce. Una vez completado el proceso de cifrado, el ransomware GrafGrafel crea notas de rescate en una ventana emergente (info.hta) y archivos de texto (info.txt). Estas notas se colocan en directorios cifrados y en el escritorio.