Ransomware

Recov es una nueva variante de ransomware de la familia VoidCrypt. Después de infiltrarse en un sistema, ejecuta el cifrado de datos (para evitar que las víctimas accedan a los archivos) y les dice a las víctimas que paguen por un kit de software de descifrado + clave RSA para desbloquear los archivos. Las instrucciones sobre cómo hacerlo se presentan dentro de la Dectryption-guide.txt nota de rescate. Una cosa más que hace este ransomware es asignar cambios visuales a los archivos cifrados: una cadena de caracteres que consta de la identificación de la víctima, la dirección de correo electrónico de los ciberdelincuentes y el .Recov extensión se agregará a los nombres de archivo. Por ejemplo, un archivo originalmente llamado 1.pdf será cambiado a 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov o de manera similar. Los ciberdelincuentes exigen que las víctimas establezcan contacto con ellos a través del correo electrónico (Recoverifiles@gmail.com o Recoverifiles@protonmail.com en caso de no respuesta). Si bien no está claro qué necesitan los extorsionadores, es probable que requieran que sus víctimas paguen una determinada tarifa por una herramienta de descifrado y una clave RSA que solo están disponibles para los desarrolladores.

Kadavro Vector es un programa de ransomware orientado a usuarios de habla inglesa, rusa y noruega. El propósito de este virus es cifrar datos potencialmente importantes y extorsionar a las víctimas para descifrarlos. Mientras hace que los archivos sean inaccesibles, el malware también agrega el .vector_ extensión a archivos específicos. Por ejemplo, un archivo originalmente llamado 1.pdf experimentará un cambio a 1.pdf.vector_ y restablecer su icono original. Muy pronto después de un cifrado exitoso, Kadavro Vector abre a la fuerza su ventana emergente que contiene pautas de descifrado. Además, los fondos de escritorio también se modifican. La nota de rescate indica a las víctimas que no apaguen Internet ni su computadora, ya que de lo contrario podría dañar los datos cifrados. Para devolver los datos, las víctimas deben comprar la criptomoneda Monero (XMR) por un valor de $ 250 y enviarla a la dirección criptográfica de los ciberdelincuentes. Además, también hay un temporizador que indica cuánto tiempo tienen los usuarios para pagar por el descifrado. Si las víctimas no logran hacerlo dentro del marco de tiempo asignado, se dice que todos los archivos se eliminarán utilizando algoritmos de alta tecnología, haciéndolos permanentemente irrecuperables en el futuro. Al hacerlo, los actores de amenazas intentan ejercer una presión adicional sobre las víctimas y, por lo tanto, las obligan a cumplir con las demandas de descifrado.

Coty Ransomware es parte de un gran STOP/Djvu familia de ransomware. Obtuvo su nombre porque las versiones originales del malware agregaron el .stop (luego .djvu) y los cifró con una combinación de criptografía AES y RSA para hacer que los archivos sean inaccesibles en la computadora Windows infectada. Coty Ransomware según su nombre agrega .coty extensión. Esta versión apareció a fines de abril de 2023. Una vez que el ransomware Coty/STOP completa el procedimiento de encriptación, el virus crea una nota de rescate para _readme.txt expediente. El mensaje de los estafadores dice que las víctimas deben pagar el rescate dentro de las 72 horas. Los autores del virus STOP están exigiendo $490 durante los primeros tres días y $980 después de este período de tiempo. Para proporcionar confirmación, los piratas informáticos permiten que se envíen de 1 a 3 archivos "no muy grandes" para su descifrado gratuito a support@freshmail.top or datarestorehelp@airmail.cc para una prueba.

Cooper es un virus ransomware que infecta los sistemas para cifrar archivos potencialmente importantes y exige dinero para descifrarlos. Además de ejecutar un cifrado seguro, también asigna la .cooper extensión a los archivos afectados. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.cooper y perder su icono original. Después de este cambio, los archivos ya no se podrán usar, incluso si elimina la extensión agregada. Para revertir estos cambios, las instrucciones de descifrado se presentan dentro del Cooper_Recover.txt archivo. Los ciberdelincuentes instan a las víctimas a que se comuniquen con ellos por correo electrónico y paguen por un software de descifrado único. Los actores de amenazas son las únicas figuras que tienen acceso a él, y se dice que ninguna otra herramienta puede proporcionar el descifrado de archivos .cooper cifrados. Durante el contacto, también se les pide a las víctimas que incluyan la identificación en la línea de asunto de un mensaje de correo electrónico. Desafortunadamente, a menos que tenga una copia de seguridad disponible que pueda usarse para recuperar copias de archivos cifrados, pagar el rescate a los ciberdelincuentes podría ser la única forma de recuperar sus archivos. Múltiples infecciones de ransomware utilizan fuertes algoritmos de cifrado y generan claves en línea, lo que garantiza que el descifrado sea apenas posible sin la ayuda de los desarrolladores iniciales.

Coza es una nueva muestra de ransomware desarrollada por el notorio grupo de extorsionistas STOP/Djvu. Al igual que muchas otras variantes publicadas por estos ciberdelincuentes, esta emplea un patrón de encriptación y extorsión casi idéntico. Al establecerse en una máquina infectada, el virus comienza a escanear y, por lo tanto, cifrar piezas de datos potencialmente importantes. Al hacerlo, el virus tiene como objetivo crear más incentivos para que las víctimas paguen por el descifrado propuesto por los atacantes. Además del cifrado, el malware también se asegura de que las víctimas puedan diferenciar los archivos bloqueados de los no bloqueados, simplemente asignando el .coza extensión. Por ejemplo, un archivo previamente llamado 1.xlsx cambiará a 1.xlsx.coza, 1.pdf a 1.pdf.coza y así sucesivamente con otros tipos de archivos específicos. Para deshacer el cifrado, se dice que las víctimas siguen las instrucciones dentro del _readme.txt nota de texto.

Pwpdvl es un virus ransomware diseñado para extorsionar a las víctimas mediante la encriptación de datos. En otras palabras, las personas afectadas por este malware ya no podrán acceder ni ver sus archivos. Cuando Pwpdvl cifra archivos potencialmente importantes, también asigna la identificación de la víctima, junto con el .pwpdvl extensión al final. Por ejemplo, un archivo como 1.pdf cambiará a algo como 1.pdf.[ID-9ECFA84E].pwpdvl y descansar su icono original. Para que las víctimas paguen dinero por la recuperación, el cifrador de archivos crea una nota de texto de rescate (RESTORE_FILES_INFO.txt), que contiene instrucciones de descifrado. Se exige a las víctimas que se comuniquen con los estafadores (a través de Bitmessage o qTOX) y paguen por el descifrado en la criptomoneda Monero (XMR). Antes de enviar el pago, los ciberdelincuentes también ofrecen probar el descifrado gratuito: las víctimas pueden enviar 2 archivos cifrados (no importantes y de 1 MB como máximo) y desbloquearlos de forma gratuita. Este es un tipo de garantía que ofrecen los extorsionadores para demostrar sus habilidades de descifrado y dar confianza adicional para pagar el rescate. Sin embargo, tenga en cuenta que confiar en los ciberdelincuentes siempre es un riesgo. Algunos usuarios se dejan engañar y no reciben las herramientas/claves de descifrado prometidas a pesar de cumplir con las demandas. A pesar de esto, lamentablemente solo los desarrolladores de ransomware tienen las claves de descifrado necesarias para restaurar de forma segura el acceso a los datos. El descifrado independiente utilizando herramientas de terceros o instantáneas de Windows puede ser posible, pero en casos muy raros, cuando el ransomware contiene fallas o no logró cifrar los datos según lo previsto.

VapeV7 es un virus ransomware diseñado para cifrar datos en sistemas infectados con éxito. Al hacerlo, el virus se asegura de que los usuarios ya no puedan acceder o ver sus propios datos, lo que permite a los actores de amenazas exigir dinero para su descifrado. Los archivos cifrados aparecerán con el nuevo .VapeV7 extensión y restablece sus íconos originales en blanco. Después de esto, a las víctimas se les presentarán instrucciones de descifrado en una ventana emergente dedicada. Para restaurar el acceso a los datos, se exige a las víctimas que envíen $200 a la billetera BTC de los ciberdelincuentes (a través de una dirección dentro de la ventana emergente) y notifiquen a los extorsionadores con la identificación de la transacción por correo electrónico. Tenga en cuenta que las billeteras BTC y los correos electrónicos de contacto cambian cada segundo, lo que genera mucha incertidumbre sobre qué dirección de billetera y correo electrónico usar. Además, las billeteras BTC mostradas son en realidad incorrectas y, por lo tanto, no existen en absoluto. Un fenómeno tan extraño podría ser una señal de que VapeV7 Ransomware tiene errores o aún está en desarrollo. Sin embargo, no se excluye que los ciberdelincuentes detrás de este ransomware eliminen los errores y golpeen a las futuras víctimas con pautas de descifrado más confiables. Desafortunadamente, a pesar de este hecho, es menos probable que los archivos cifrados por VapeV7 Ransomware se puedan descifrar manualmente.

Charmant es un programa malicioso que entra en la categoría de ransomware. El malware de este tipo está diseñado para cifrar el acceso a los datos y hacer que las víctimas paguen dinero por su descifrado. Mientras cifra el acceso a los archivos almacenados en el sistema, esta variante de ransomware también asigna el .charmant extensión para resaltar los datos bloqueados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf y perder su icono original. Inmediatamente después de que finaliza el cifrado, aparece una nota de texto denominada #RECOVERY#.txt se crea para presentar pautas de descifrado. Para establecer contacto con los ciberdelincuentes y solicitar el descifrado de los archivos bloqueados, se indica a las víctimas que escriban por correo electrónico o mediante el cliente Jabber (un servicio de mensajería seguro). Después de una comunicación exitosa con los ciberdelincuentes, lo más probable es que se exija a las víctimas que paguen una determinada tarifa de rescate para obtener un software especial y una clave de descifrado. Además, el mensaje también advierte contra la ejecución de modificaciones en los archivos o el intento de descifrarlos con herramientas de terceros, ya que tales acciones pueden provocar daños permanentes. Si bien esta información puede estar inicialmente diseñada para asustar a los usuarios inexpertos y eventualmente pagar por el descifrado, en realidad es cierta. Sin las claves de descifrado correctas que almacenan los ciberdelincuentes, rara vez es posible descifrar los archivos por completo y sin riesgos de daños. En el momento de escribir este artículo, no se conoce ninguna herramienta de terceros que pueda descifrar los datos bloqueados. En casos excepcionales, las herramientas de descifrado genéricas pueden funcionar solo si el ransomware contenía fallas o no logró cifrar los archivos de la manera prevista.