Ransomware

Dzen Ransomware es una variante de software malicioso que entra en la categoría de criptovirus. Como forma de ransomware, su función principal es infiltrarse en los sistemas informáticos, cifrar archivos y exigir un rescate a la víctima a cambio de la clave de descifrado. Este tipo de ciberataque puede tener efectos devastadores tanto en personas como en organizaciones, provocando pérdida de datos y daños financieros. Tras una infiltración exitosa, Dzen Ransomware procede a cifrar archivos en la computadora afectada. Utiliza un algoritmo de cifrado robusto para bloquear archivos, haciéndolos inaccesibles para el usuario. El ransomware añade una extensión única .dzen a los nombres de todos los archivos cifrados, que normalmente incluyen la identificación de la víctima. Por ejemplo, un archivo originalmente llamado document.docx podría cambiarse el nombre a document.docx.[victim's_ID].[vinsulan@tutamail.com].dzen después del cifrado. Dzen Ransomware crea una nota de rescate que informa a la víctima sobre el cifrado y proporciona instrucciones sobre cómo proceder. La nota de rescate suele llevar el nombre info.txt or info.hta y se coloca en el escritorio o en carpetas que contienen archivos cifrados. La nota especifica que los datos de la víctima han sido cifrados y sólo pueden desbloquearse con una clave de descifrado, que los atacantes afirman proporcionar tras el pago del rescate. La nota también puede incluir información de contacto de los ciberdelincuentes e instrucciones de pago, que normalmente exigen el pago en criptomonedas como Bitcoin.

REDCryptoApp Ransomware es un tipo de software malicioso que se incluye en la categoría de criptoransomware. Esta cepa específica de ransomware está diseñada para infiltrarse en los sistemas informáticos, cifrar archivos y exigir un rescate a la víctima a cambio de la clave de descifrado. Las siguientes secciones proporcionan un análisis detallado de REDCryptoApp Ransomware, sus métodos de infección, extensiones de archivos, mecanismos de cifrado, notas de rescate, herramientas de descifrado disponibles y métodos para descifrar los archivos afectados. Tras la infección, REDCryptoApp Ransomware escanea el sistema en busca de archivos para cifrar. Está dirigido a una amplia gama de tipos de archivos, incluidos documentos, imágenes, vídeos y bases de datos. Después de cifrar los archivos, el ransomware agrega una extensión de archivo específica a los nombres de los archivos originales, que suele ser un identificador único para la variante del ransomware, como .REDCryptoApp. El cifrado utilizado por REDCryptoApp Ransomware suele ser una combinación de algoritmos simétricos y asimétricos. El cifrado simétrico, como AES, se utiliza para el cifrado masivo de archivos debido a su eficiencia. El cifrado asimétrico, como RSA, se emplea para cifrar las claves simétricas, garantizando que solo el atacante tenga acceso a la clave privada necesaria para el descifrado. REDCryptoApp Ransomware crea una nota de rescate que proporciona instrucciones a la víctima sobre cómo pagar el rescate y obtener la clave de descifrado. Esta nota suele ser un archivo de texto, llamado algo así como HOW_TO_RESTORE_FILES.REDCryptoApp.txty se coloca en el escritorio o en carpetas que contienen archivos cifrados. La nota normalmente incluye el monto del rescate, a menudo exigido en criptomonedas como Bitcoin, e instrucciones sobre cómo realizar el pago.

ELITTE87 Ransomware es una variante de criptovirus que pertenece a la familia Phobos, conocida por sus capacidades destructivas. Una vez que se infiltra en un sistema, cifra los archivos, haciéndolos inaccesibles para el usuario. Además del cifrado, ELITTE87 realiza otras acciones maliciosas, como desactivar el firewall y eliminar instantáneas de volumen. Esto último es particularmente preocupante ya que impide la posibilidad de restaurar archivos cifrados a través de las funciones de copia de seguridad integradas de Windows. Este ransomware modifica los nombres de los archivos añadiendo el ID de la víctima, una dirección de correo electrónico y el .ELITE87 extensión para cada archivo cifrado. Por ejemplo, un archivo llamado sample.jpg sería renombrado a sample.jpg.id[random-id].[helpdata@zohomail.eu].ELITTE87. El ransomware de este tipo suele emplear una combinación de algoritmos de cifrado simétricos y asimétricos para proteger los archivos, haciéndolos inaccesibles sin la clave de descifrado única que poseen los atacantes. El ransomware ELITTE87 genera dos notas de rescate: una se muestra en una ventana emergente y la otra es un archivo de texto llamado info.txt creado en cada directorio que contiene archivos cifrados. La nota de rescate informa a las víctimas que sus datos han sido cifrados y descargados, y que el descifrado sólo es posible con el software de los ciberdelincuentes. Advierte contra intentar descifrar los datos de forma independiente o utilizando software de terceros, ya que esto podría provocar una pérdida permanente de datos. La nota también desaconseja buscar ayuda de empresas intermediarias o de recuperación, sugiriendo que esto podría resultar en una mayor pérdida de datos o engaño.

SatanCD Ransomware es un programa malicioso clasificado en la categoría de ransomware, específicamente basado en la familia de ransomware Chaos. Este malware está diseñado para cifrar archivos en la computadora infectada, haciéndolos inaccesibles para el usuario y luego exige un pago por su descifrado. Al infectar una computadora, SatanCD altera los nombres de los archivos cifrados añadiendo una extensión que consta de cuatro caracteres aleatorios. Por ejemplo, un archivo llamado 1.jpg podría cambiarse el nombre a 1.jpg.563ly 2.png a 2.png.a7vb. Este patrón de cambio de nombre facilita la identificación de archivos que han sido cifrados por este ransomware en particular. Si bien los algoritmos de cifrado exactos utilizados por SatanCD no se especificaron en la fuente, ser un programa ransomware sugiere el uso de métodos de cifrado sólidos, lo que probablemente haga que el descifrado no autorizado sin la clave de descifrado sea extremadamente difícil, si no imposible. Después de cifrar archivos, SatanCD cambia el fondo de pantalla del escritorio y crea una nota de rescate titulada read_it.txt. Esta nota informa a la víctima que sus archivos han sido cifrados y que la única forma de descifrarlos es adquiriendo software de descifrado de los atacantes. Es probable que la nota contenga instrucciones sobre cómo pagar el rescate y contactar a los atacantes.

Napoli Ransomware es un tipo de software malicioso que pertenece a la categoría de ransomware, que está diseñado para cifrar datos en la computadora de la víctima, haciendo que los archivos sean inaccesibles. Luego, los atacantes exigen un pago de rescate, generalmente en criptomonedas, por la clave de descifrado que permitirá a la víctima recuperar el acceso a sus archivos. Tras la infección, Napoli Ransomware cifra los archivos en la computadora de la víctima y agrega una extensión de archivo específica a los archivos cifrados. Se ha observado que el ransomware utiliza el .napoli extensión, lo que indica que un archivo ha sido cifrado y ya no se puede acceder a él en su forma original. El método de cifrado utilizado por Napoli Ransomware no se especifica en los resultados de búsqueda proporcionados. Sin embargo, el ransomware suele emplear algoritmos de cifrado potentes, como AES o RSA, para garantizar que los archivos cifrados no se puedan descifrar fácilmente sin la clave de descifrado correspondiente. Después de cifrar los archivos, Napoli Ransomware crea una nota de rescate que proporciona instrucciones a la víctima sobre cómo pagar el rescate y obtener la clave de descifrado. La nota de rescate suele ser un archivo de texto, llamado read_it.txty se coloca en el escritorio o en carpetas que contienen archivos cifrados. Además, el ransomware puede cambiar el fondo de pantalla del escritorio para mostrar el mensaje de rescate.

MarioLocker es un software malicioso categorizado como ransomware, un tipo de malware que cifra los archivos de las víctimas, haciéndolos inaccesibles. El objetivo principal de los atacantes de ransomware es exigir un rescate a las víctimas, normalmente a cambio de una clave de descifrado necesaria para desbloquear los archivos cifrados. MarioLocker Ransomware agrega una extensión única a los archivos cifrados. Cambia el nombre de los archivos agregando el .wasted extensión seguida de un número secuencial, como .wasted1, .wasted2, etcétera. Esta convención de cambio de nombre sirve como un indicador claro de la presencia del ransomware en el sistema. La nota de rescate es un componente crítico de la estrategia del ransomware y proporciona a las víctimas instrucciones sobre cómo proceder. MarioLocker crea un archivo de texto llamado @Readme.txt, que contiene un mensaje de rescate. Este archivo normalmente se coloca en los mismos directorios que los archivos cifrados o en una ubicación destacada, como el escritorio. La nota indica a las víctimas que abran un archivo llamado "WastedBitDecryptor" y sigan los pasos descritos en él. Además, dirige a las víctimas a un archivo llamado YourFiles.txt ubicado en el directorio "C:\Windows\Temp", que contiene una lista de archivos cifrados.

RTM Locker Ransomware, también conocido como Read The Manual Locker, se ha convertido en una amenaza importante en el panorama de la ciberseguridad. Este software malicioso es parte de un modelo de Ransomware como servicio (RaaS), donde a los afiliados se les cobra un porcentaje de sus ganancias por usar la infraestructura de RTM Locker para lanzar sus ataques. Este modelo ha facilitado la difusión de RTM Locker, convirtiéndolo en una amenaza frecuente tanto para individuos como para organizaciones. Tras la infección, RTM Locker agrega una extensión única de 64 caracteres a los nombres de todos los archivos cifrados, haciéndolos inaccesibles para los usuarios. Esta extensión es una combinación de caracteres aleatorios, lo que complica significativamente la identificación y recuperación de los archivos afectados. El método de cifrado utilizado por RTM Locker implica una combinación de cifrado simétrico y asimétrico, lo que hace prácticamente imposible descifrar los archivos sin la clave privada del atacante. RTM Locker lanza una nota de rescate llamada How To Restore Your Files.txt en el escritorio de la víctima. Esta nota informa a las víctimas sobre el cifrado y exige contacto dentro de las 48 horas para evitar la divulgación pública de los datos cifrados. La nota advierte contra intentar descifrar los archivos de forma independiente, ya que esto podría provocar una pérdida permanente de datos.

Water Ransomware es un tipo de criptovirus, un software malicioso diseñado para cifrar archivos en la computadora de una víctima y exigir un rescate por descifrarlos. Pertenece a Phobos familia de ransomware. Esta ciberamenaza es particularmente insidiosa ya que no solo restringe el acceso a datos importantes sino que también conlleva el riesgo de pérdida permanente de datos y demandas financieras. Una vez que una computadora está infectada, Water Ransomware cifra los archivos del usuario con un sofisticado algoritmo de cifrado y les cambia el nombre agregando una extensión única. El nuevo nombre de archivo incluye la identificación de la víctima, la dirección de correo electrónico del atacante y el .water extensión, marcando efectivamente los archivos como inaccesibles. Por ejemplo archivo 1.txt será cambiado a 1.txt.id[random-ID].[aquaman@rambler.ua].water. El ransomware genera una nota de rescate, que normalmente se encuentra en archivos llamados info.hta y info.txt. Esta nota instruye a las víctimas sobre cómo contactar a los atacantes para pagar el rescate. Advierte contra los intentos de autodescifrado o el uso de software de terceros, advirtiendo que tales acciones podrían provocar una pérdida irreversible de datos. La nota también desaconseja buscar ayuda de empresas intermediarias, lo que podría dar lugar a mayores rescates o esquemas fraudulentos.