Ransomware

Wsuu Ransomware es un tipo de malware que encripta archivos en una computadora y exige el pago de un rescate a cambio de la clave de descifrado. pertenece a la Djvu/STOP familia de ransomware. El ransomware cifra una amplia gama de tipos de archivos, incluidos documentos, imágenes y bases de datos, y agrega el .wsuu extensión a los archivos cifrados, haciéndolos inaccesibles e inutilizables. La nota de rescate normalmente se llama _readme.txt y contiene instrucciones sobre cómo contactar a los delincuentes detrás de Wsuu y pagar un rescate a cambio de la clave de descifrado. El monto del rescate oscila entre $ 490 y $ 980, según el tiempo transcurrido después del ataque, y generalmente se exige en Bitcoin. Wsuu Ransomware utiliza el algoritmo de cifrado Salsa20 para cifrar los archivos en el sistema. Este algoritmo de encriptación no es el método más fuerte, pero aun así proporciona una cantidad abrumadora de posibles claves de desencriptación. Si Wsuu no puede establecer una conexión con el servidor del atacante antes de iniciar el proceso de cifrado, utiliza la clave sin conexión. Esta clave es la misma para todas las víctimas, lo que permite descifrar archivos .wsuu en el futuro.

Wsaz Ransomware es un virus de cifrado generalizado que cifra los archivos en la computadora de la víctima, haciéndolos inaccesibles, y luego exige un rescate a cambio de la clave de descifrado. Es parte de la familia de ransomware Djvu y se distribuye a través de correos electrónicos no deseados, cracks de software falsos o explotando vulnerabilidades en el sistema operativo y los programas instalados. Una vez que infecta un sistema, Wsaz altera los nombres de archivo de los archivos cifrados agregando el .wsaz extensión. Por ejemplo, un archivo llamado 1.jpg se renombra como 1.jpg.wsaz, 2.png se convierte en 2.png.wsaz, etcétera. Wsaz Ransomware utiliza algoritmos de cifrado Salsa20 para codificar el contenido de los archivos de destino. El fuerte método de cifrado empleado por el virus Wsaz hace que sea bastante difícil, si no imposible, encontrar la clave de descifrado sin cooperar con los atacantes. Wsaz Ransomware genera una nota de rescate en un archivo llamado _readme.txt que normalmente se coloca en cada carpeta afectada.

Kitu Ransomware es un virus de encriptación extremadamente peligroso, que encripta archivos en la computadora de la víctima, haciéndolos inaccesibles hasta que se paga un rescate. El ransomware es parte de la familia de ransomware Djvu, que está asociada con ladrones de información como RedLine y Vidar. Kitu Ransomware utiliza el cifrado de archivos para restringir el acceso a los archivos y agrega el .kitu extensión a los nombres de archivo. El ransomware utiliza un fuerte algoritmo de clave de cifrado AES-256 para cifrar los archivos de un sistema informático infectado. El ransomware crea una nota de rescate llamada _readme.txt comunicarse con la víctima. La nota enfatiza que las víctimas tienen una ventana limitada de 72 horas para contactar a los atacantes si desean recibir herramientas de descifrado (software y clave) a un precio reducido. Como incentivo adicional, la nota menciona que los atacantes descifrarán un archivo de forma gratuita como prueba de que pueden descifrar el resto.

Akira Ransomware es un tipo de malware que encripta datos y modifica los nombres de archivo de todos los archivos afectados agregando el .akira extensión. Es una nueva familia de ransomware que se usó por primera vez en ataques cibernéticos en marzo de 2023. Por ejemplo, cambia el nombre 1.jpg a 1.jpg.akira, 2.png a 2.png.akira, etcétera. Akira Ransomware se propaga dentro de una red corporativa y se dirige a múltiples dispositivos una vez que obtiene acceso. Akira Ransomware utiliza sofisticados algoritmos de cifrado para cifrar los archivos de la víctima. Utiliza cifrado simétrico con CryptGenRandom() y Chacha 2008 para el cifrado de archivos. Akira Ransomware crea una nota de rescate llamada akira_readme.txt.

Black Hunt 2.0 Ransomware es sucesor del notorio Black Hunt Ransomware, un tipo de malware que cifra los datos y exige un rescate por su descifrado. Pertenece a la familia de ransomware Kronos. Le agrega el .Hunt2 extensión para archivos encriptados y crea una nota de rescate llamada #BlackHunt_ReadMe.txt en cada directorio que contiene archivos cifrados. También muestra un mensaje antes del inicio de Windows, modifica el fondo de escritorio y muestra una ventana emergente (#BlackHunt_ReadMe.hta). La nota de rescate advierte contra el cambio de nombre de los archivos cifrados, el uso de herramientas de descifrado de terceros y la búsqueda de ayuda de los servicios de intermediarios. La plantilla de cambio de nombre de archivo también contiene el correo electrónico de los malhechores, por lo que el archivo sample.jpg se convertirá en sample.jpg.[random-16-digit-alphanumerical-sequence].[dectokyo@onionmail.org].Hunt2. Para eliminar Black Hunt 2.0 Ransomware, aísle el dispositivo infectado de la red e identifique el malware específico. Use un software antivirus confiable para ejecutar análisis regulares del sistema y eliminar amenazas/problemas detectados. También puede utilizar un potente escáner antimalware, por ejemplo, Spyhunter 5, para comprobar si se puede eliminar el virus Black Hunt 2.0.

Kizu Ransomware, también conocido como .kizu file virus, es un tipo de malware que encripta archivos en la computadora de la víctima y exige un pago a cambio de la clave de descifrado. Es la última variante de STOP/Djvu Ransomware y es capaz de golpear cualquier versión de Windows. Una vez que el malware infecta un sistema, deja caer una nota de rescate llamada _readme.txt en cada directorio que contiene archivos cifrados. Esta nota de rescate sirve para notificar a las víctimas que sus archivos han sido cifrados y describe las condiciones para obtener la clave de descifrado. Los atacantes detrás de Kizu exigen un pago de rescate de las víctimas a cambio de restaurar el acceso a los archivos bloqueados. Kizu Ransomware cifra los archivos de la víctima con el cifrado Salsa20 y agrega el .kizu extensión a los nombres de archivo de todos los archivos afectados. Se dirige a varios tipos de archivos, como videos, fotos, documentos y más.

Cactus Ransomware es un tipo de malware que encripta todos los datos en su computadora, incluidas imágenes, documentos, tablas de Excel, música, videos y más. Agrega lo suyo .CTS1 extensión a cada archivo, dejando una nota de rescate llamada cAcTuS.readme.txt en cada carpeta con los archivos cifrados. Por ejemplo, una imagen llamada photo.jpg será renombrado a photo.jpg.CTS1. Cactus cifra los archivos dos veces y agrega una nueva extensión después de cada proceso (.CTS1.CTS7) cuando se ejecuta en los modos rápido y normal. Cactus Ransomware explota las vulnerabilidades conocidas en los dispositivos VPN para obtener acceso inicial a las redes objetivo. Una vez dentro de la red, los actores de Cactus intentan enumerar las cuentas de usuario locales y de la red, además de los puntos finales alcanzables antes de crear nuevas cuentas de usuario y aprovechar los scripts personalizados para automatizar la implementación y la detonación del cifrador de ransomware a través de tareas programadas. Durante el cifrado, Cactus emplea la implementación de sobres de OpenSSL para cifrar los archivos de las víctimas con AES y RSA, agregando los archivos con la extensión cts\d.

Kiqu Ransomware es un tipo de malware que cifra archivos y exige un rescate a cambio de su descifrado. Pertenece a la familia de ransomware STOP/DJVU y utiliza el algoritmo de cifrado Salsa20. El virus generalmente se distribuye a través de programas dudosos, como versiones "gratuitas" de aplicaciones populares, motores de trucos, activadores de Windows y generadores de claves. El ransomware Kiqu agrega el .kiqu extensión a cada copia cifrada de un archivo. Kiqu Ransomware genera un archivo de texto llamado _readme.txt que contiene una nota de rescate. La nota de rescate exige un pago de $490 o $980 en Bitcoins y proporciona una dirección de correo electrónico para contactar a los ciberdelincuentes. La muestra de dicha nota de rescate se presenta a continuación.