Ransomware

BlackDream Ransomware es un tipo de malware que cifra datos en la computadora de una víctima y exige un pago por descifrarlos. Fue descubierto por investigadores mientras investigaban nuevos envíos de malware a VirusTotal. El ransomware añade una identificación única, la dirección de correo electrónico de los ciberdelincuentes y el .BlackDream extensión a los nombres de archivos de archivos cifrados. Por ejemplo, un archivo inicialmente llamado 1.jpg aparecería como 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. Una vez completado el proceso de cifrado, aparecerá una nota de rescate titulada ReadME-Decrypt.txt se deja caer. BlackDream ransomware utiliza un método de cifrado de archivos no especificado. La nota asegura a la víctima que sus archivos no han sido dañados sino que han sido cifrados. Advierte que buscar ayuda para la recuperación fuera de los atacantes (es decir, utilizar herramientas o servicios de terceros) puede hacer que los datos no se puedan descifrar. La nota implica que el descifrado requerirá el pago de un rescate en la criptomoneda Bitcoin, aunque no se especifica la suma exacta.

Zput es un tipo de ransomware que pertenece a la familia de ransomware Djvu. Es un programa malicioso diseñado para cifrar archivos y exigir rescates por descifrarlos. El ransomware Zput se dirige a varios tipos de archivos, como vídeos, fotos, documentos y más. Altera la estructura del archivo y agrega el .zput extensión a cada archivo, haciéndolos inaccesibles e inutilizables sin descifrarlos. Por ejemplo, un archivo inicialmente llamado 1.jpg aparece como 1.jpg.zput, 2.png, ya que 2.png.zput, etcétera. Zput Ransomware utiliza algoritmos de cifrado Salsa20 para codificar el contenido de los archivos de destino. Este sólido método de cifrado hace que sea bastante difícil, si no imposible, elegir la clave de descifrado sin cooperar con los atacantes. Después de cifrar los archivos, Zput ransomware lanza una nota de rescate titulada _readme.txt. Esta nota informa a la víctima que sus datos han sido cifrados y que para recuperar los archivos bloqueados es necesario cumplir con las demandas de los atacantes: pagar un rescate para obtener la clave/software de descifrado.

Zpww Ransomware es un tipo de malware que pertenece a la familia STOP/Djvu. Su objetivo principal es extorsionar a las víctimas cifrando sus archivos y exigiendo un rescate por descifrarlos. El rescate suele oscilar entre 490 y 980 dólares, pagadero en Bitcoins. Tras una infiltración exitosa, Zpww Ransomware escanea cada carpeta en busca de archivos que pueda cifrar. Luego crea una copia del archivo de destino, elimina el original, cifra la copia y la deja en lugar del original eliminado. Los archivos cifrados se añaden con la extensión específica .zpww. El ransomware utiliza el algoritmo de cifrado Salsa20, que, aunque no es el método más potente, proporciona una abrumadora cantidad de posibles claves de descifrado. Después del proceso de cifrado, Zpww Ransomware crea una nota de rescate llamada _readme.txt en la carpeta donde se encuentra el archivo cifrado.

Zpas es una infección de ransomware de cifrado de archivos que pertenece a la familia de ransomware STOP/DJVU. Restringe el acceso a datos como documentos, imágenes y vídeos cifrando archivos con el .zpas extensión. Luego, el ransomware intenta extorsionar a las víctimas pidiendo un "rescate", generalmente en forma de criptomoneda Bitcoin, a cambio de acceso a los datos. Cuando una computadora está infectada con el ransomware Zpas, escanea el sistema en busca de imágenes, videos y documentos y archivos de productividad importantes como .doc, .docx, .xls, .pdf. Cuando se detectan estos archivos, el ransomware los cifra y cambia su extensión, haciéndolos inaccesibles. El ransomware Zpas utiliza un cifrado robusto, Salsa20, que es imposible de "piratear". Una vez que el ransomware Zpas ha cifrado los archivos en una computadora, muestra una nota de rescate llamada _readme.txt en el escritorio. La nota de rescate contiene instrucciones sobre cómo contactar a los autores de este ransomware a través de las direcciones de correo electrónico support@fishmail.top y datarestorehelp@airmail.cc. Se pide a las víctimas de este ransomware que se pongan en contacto con estos desarrolladores de malware. El rescate exigido oscila entre 490 y 980 dólares (en Bitcoins).

Halo Ransomware es un tipo de malware diseñado para cifrar datos y exigir rescates por descifrarlos. Se añade el .halo extensión a los nombres de archivos de archivos cifrados. Por ejemplo, un archivo inicialmente titulado 1.jpg aparecería como 1.jpg.halo. Después de cifrar los archivos, Halo Ransomware crea un mensaje que exige un rescate llamado !_INFO.txt. La nota afirma que los archivos de la víctima han sido cifrados y sólo pueden recuperarse pagando un rescate. La nota advierte contra apagar el sistema, cambiar el nombre de los archivos, intentar descifrarlos manualmente o utilizar herramientas de recuperación de terceros, ya que estas acciones pueden hacer que los datos no se puedan descifrar. Se desconoce el algoritmo de cifrado de archivos específico utilizado por Halo Ransomware. Sin embargo, los programas de ransomware suelen utilizar algoritmos criptográficos simétricos o asimétricos para cifrar archivos.

Keylock Ransomware es un tipo de software malicioso que cifra archivos en la computadora de una víctima y agrega un .keylock extensión de los nombres de archivos. Por ejemplo, un archivo originalmente llamado 1.jpg aparecería como 1.jpg.keylock después del cifrado. Una vez que se completa el proceso de cifrado, Keylock crea un mensaje que exige un rescate titulado README-id-[nombre de usuario].txt (el nombre del archivo varía según el nombre de usuario). La nota de rescate proporciona instrucciones sobre cómo pagar el rescate, generalmente en Bitcoin, para obtener la clave de descifrado y recuperar el acceso a los archivos cifrados. Keylock ransomware utiliza cifrado AES, un algoritmo de cifrado simétrico, para cifrar archivos rápidamente. La nota de rescate advierte contra cambiar el nombre, modificar o eliminar los archivos cifrados, intentar descifrarlos manualmente o utilizar software de recuperación o herramientas antivirus de terceros, ya que estas acciones pueden provocar una pérdida permanente de datos.

Itqw Ransomware es un software malicioso que pertenece a la familia de ransomware STOP/Djvu. Se dirige a varios tipos de archivos, como vídeos, fotos, documentos y más, cifrándolos y haciéndolos inaccesibles. Itqw ransomware cifra archivos utilizando un algoritmo de cifrado potente y una clave única. El ransomware añade un distintivo .itqw extensión a cada archivo cifrado y exige un pago de rescate, generalmente en forma de criptomoneda Bitcoin, para supuestamente desbloquear los archivos. El monto del rescate puede variar según la variante específica de Itqw Ransomware. Itqw Ransomware crea una nota de rescate, un archivo llamado _readme.txt, que contiene instrucciones sobre cómo contactar a los atacantes y pagar el rescate. El monto del rescate oscila entre $490 y $980 en Bitcoin.

Ithh Ransomware es una variante de la familia de ransomware Djvu que cifra archivos en la computadora de la víctima y agrega el .ithh extensión de los nombres de archivos. Por ejemplo, cambia 1.jpg a 1.jpg.ithh y 2.png a 2.png.ithh. Después de cifrar los archivos, Ithh Ransomware genera una nota de rescate dentro de un archivo llamado _readme.txt. Los atacantes exigen un pago de rescate, generalmente en criptomonedas, para proporcionar la clave de descifrado para restaurar el acceso a los archivos cifrados. Sin embargo, se desaconseja pagar el rescate, ya que no hay garantía de que los atacantes proporcionen las herramientas de descifrado. La nota de rescate de Ithh es un mensaje dejado por los atacantes de Ithh Ransomware después de cifrar los archivos de la víctima. La nota suele contener información sobre el ataque de ransomware e instrucciones sobre cómo pagar el rescate (490 dólares o 980 dólares en criptomonedas).