Ransomware

Qore es otro cifrador de archivos desarrollado y difundido por STOP/Djvu familia. Copia todas las características y capacidades de las ediciones anteriores del grupo STOP/Djvu. El virus cifra los datos almacenados en la PC y exige un rescate criptográfico por un software de descifrado único que descifrará estos datos. La mayoría de las veces, el malware como Qore se dirige a datos vitales como imágenes, música, videos y documentos que contienen información importante. Después de detectar dichos archivos, el programa ransomware generará cifrados únicos y los escribirá sobre los archivos para evitar que los usuarios accedan a ellos. Aparte de esto, las infecciones de ransomware también agregan nuevas extensiones para resaltar los datos cifrados. En el caso de Qore Ransomware, los usuarios verán sus datos cambiados con el .qore extensión. Esto significa un archivo normal como 1.pdf cambiará su apariencia a algo como esto 1.pdf.qore. Después de esto, los desarrolladores de Qore crean una nota de texto llamada _readme.txt que explican la instrucción de descifrado. Tenga en cuenta que todos estos cambios ocurren en un abrir y cerrar de ojos, por lo que es imposible rastrear qué parte del cifrado ocurrió primero. Esto es lo que puede ver escrito dentro de la nota de texto con demandas de rescate.

BlackSuit es un virus de tipo ransomware que tiene como objetivo el cifrado de datos en los sistemas operativos Windows y Linux. Las víctimas de esta infección no podrán acceder a sus archivos hasta que se pague el rescate. Para ello, se anima a las víctimas a leer las instrucciones de descifrado presentadas en el README.BlackSuit.txt nota de texto. Además, el virus también destaca los datos bloqueados al agregar el nuevo .blacksuit extensión a ellos. Para ilustrar, un archivo como 1.pdf cambiará a 1.pdf.blacksuit, restablecer su icono original y, al mismo tiempo, dejar de estar accesible. El README.BlackSuit.txt El archivo afirma que las víctimas fueron atacadas por un extorsionador que alega haber cifrado y cargado archivos cruciales en un servidor protegido. Se dice que datos como registros financieros, información confidencial, archivos personales y otros materiales confidenciales ahora corren el riesgo de filtrarse a la web a menos que las víctimas obedezcan las demandas de los atacantes. El extorsionista dice que es posible evitar todas las implicaciones negativas y restaurar el acceso a los datos por una cierta cantidad de dinero. Para ponerse en contacto con los atacantes, se insta a las víctimas a utilizar el enlace del navegador TOR proporcionado y colaborar aún más con los estafadores.

Qopz Ransomware es un virus informático de cifrado de archivos de alto riesgo, que pertenece a la notoria familia de STOP/Djvu. Este virus en particular fue lanzado durante los primeros días de mayo de 2023. Estas son algunas de sus características: Modifica las extensiones de los archivos con código de 4 letras. .qopz; cifra esos archivos con una fuerte combinación de criptografía AES-256 y RSA-1024; crea una nota de rescate _readme.txt, donde los autores exigen un rescate de $980/$490 por el descifrado. Desafortunadamente, el descifrado completo no es posible si el virus usó una clave en línea (su PC estuvo en línea durante todo el proceso de encriptación). Pero no se desespere, todavía hay posibilidades de restaurar los datos parcial o incluso completamente con las instrucciones proporcionadas en esta página y cierta porción de suerte. Los piratas informáticos ofrecen descifrar 1 archivo de forma gratuita, y recomendamos no perder esta oportunidad. Aunque dicen que el archivo no debe contener información importante, envíeles 1 archivo crucial, el documento más importante o una foto memorable. Sin embargo, esa debería ser toda la comunicación con ellos. No pague el rescate, porque, en la mayoría de los casos, los malhechores simplemente dejan de responder.

GAZPROM es una infección de ransomware desarrollada sobre la base de otro ransomware llamado CONTI. Al igual que otros programas maliciosos de este tipo, GAZPROM tiene como objetivo el cifrado de archivos personales y luego exige a las víctimas que paguen un rescate por su descifrado. Junto con el cifrado, el virus crea dos archivos que contienen instrucciones de descifrado (GAZPROM_DECRYPT.hta y DECRYPT_GAZPROM.html). Además, los datos cifrados se renombran con el .GAZPROM extensión. Como resultado, los archivos restringidos comienzan a verse de la siguiente manera: 1.pdf.GAZPROM, 1.png.GAZPROM, etcétera. Para devolver los datos bloqueados, se indica a las víctimas que se pongan en contacto con los ciberdelincuentes en el mensajero de Telegram y paguen por el descifrado de los datos. Si las víctimas no logran establecer comunicación dentro de las primeras 24 horas desde el cifrado, se dice que el precio aumenta. Los actores de amenazas aseguran que son capaces de devolver el acceso a los datos bloqueados y pueden proporcionar todas las pruebas posibles para probarlo.

Zhong es el nombre de una infección de ransomware que ejecuta el cifrado de datos almacenados en el sistema y luego insta a las víctimas a pagar dinero por el descifrado. Mientras restringe el acceso a los datos, el virus también asigna su propia .zhong extensión para resaltar los datos cifrados. Tenga en cuenta que este cambio es puramente visual y no tiene nada directo con el cifrado. Desafortunadamente, simplemente eliminar la extensión agregada no devolverá el acceso a los datos. Para hacerlo, se alienta a las víctimas a seguir las instrucciones dentro del Restore.txt nota de texto que se crea después de un cifrado exitoso. El mensaje de la nota de texto aclara que las víctimas tienen 48 horas para contactar a los actores de amenazas por correo electrónico y pagar por el descifrado. De lo contrario, los datos afectados se harán públicos en varios recursos (supuestamente de la dark web). Al decir esto, los ciberdelincuentes intentan intimidar a los usuarios y básicamente obligarlos a pagar el rescate. Si bien se desconoce el costo de descifrado, varios extorsionadores de ransomware pueden requerir de cientos a incluso miles de dólares para el descifrado completo del archivo.

H3r es una infección de ransomware diseñada para hacer que los archivos sean inaccesibles (mediante el cifrado) y exigir el pago de su recuperación posterior. Además de ejecutar un cifrado criptográfico seguro, el virus también modifica los nombres de los archivos afectados añadiendo una nueva extensión que consta del identificador personal de la víctima, la dirección de correo electrónico de los ciberdelincuentes y .h3r al final. Por ejemplo, un archivo original como 1.pdf después del cifrado cambiará a algo como 1.pdf.id-9ECFA84E.[herozerman@tutanota.com].h3r y dejar de ser accesible. Después de esto, el ransomware mostrará una ventana emergente y creará el info.txt archivo, que presenta pautas de descifrado a las víctimas.

AttackSystem es una infección de ransomware que tiene capacidades de cifrado de archivos. Esto significa que después de infectarse, las víctimas no podrán acceder a sus propios datos hasta que se realice el pago del rescate. Además, el ransomware también altera la apariencia del archivo al agregar el .attacksystem extensión. Por ejemplo, un archivo previamente llamado 1.pdf cambiará a algo como 1.pdf.attacksystem y dejar de ser utilizable. Información sobre cómo devolver los datos bloqueados proporcionados por estafadores en el How_to_back_files.html archivo que se crea después del cifrado. También vale la pena señalar que se ha descubierto que AttackSystem Ransomware pertenece a otra familia de malware conocida como MedusaLocker.

Saba es un programa ransomware perteneciente a la STOP/Djvu familia de programas maliciosos. Al igual que las versiones anteriores de ransomware lanzadas por esta familia, Saba cifra los datos personales y exige a las víctimas que paguen un rescate por su devolución. Durante este proceso, el virus modifica todos los archivos restringidos usando el .saba extensión. Por ejemplo, un archivo llamado 1.pdf cambiará a 1.pdf.saba y restablecer su icono original. A continuación, Saba Ransomware crea una nota de texto (_readme.txt) que contiene instrucciones sobre cómo recuperar los archivos. Como se indica en la nota, las víctimas deben ponerse en contacto con los desarrolladores de ransomware a través de una comunicación por correo electrónico (support@freshmail.top or datarestorehelp@airmail.cc) y pague 980 dólares por un software de descifrado especial. Los ciberdelincuentes también ofrecen un 50% de descuento sobre el precio mencionado si las víctimas escriben un mensaje a los estafadores dentro de las 72 horas. Además de esto, los usuarios infectados también pueden enviar 1 archivo encriptado para desbloquearlo y que funcione completamente de forma gratuita. La posibilidad de descifrar sus datos sin pagar el rescate depende de cómo se hayan cifrado. Los desarrolladores de la familia STOP pueden usar formas tanto fuera de línea como en línea para generar y almacenar cifrados asignados.