Ransomware

Water Ransomware es un tipo de criptovirus, un software malicioso diseñado para cifrar archivos en la computadora de una víctima y exigir un rescate por descifrarlos. Pertenece a Phobos familia de ransomware. Esta ciberamenaza es particularmente insidiosa ya que no solo restringe el acceso a datos importantes sino que también conlleva el riesgo de pérdida permanente de datos y demandas financieras. Una vez que una computadora está infectada, Water Ransomware cifra los archivos del usuario con un sofisticado algoritmo de cifrado y les cambia el nombre agregando una extensión única. El nuevo nombre de archivo incluye la identificación de la víctima, la dirección de correo electrónico del atacante y el .water extensión, marcando efectivamente los archivos como inaccesibles. Por ejemplo archivo 1.txt será cambiado a 1.txt.id[random-ID].[aquaman@rambler.ua].water. El ransomware genera una nota de rescate, que normalmente se encuentra en archivos llamados info.hta y info.txt. Esta nota instruye a las víctimas sobre cómo contactar a los atacantes para pagar el rescate. Advierte contra los intentos de autodescifrado o el uso de software de terceros, advirtiendo que tales acciones podrían provocar una pérdida irreversible de datos. La nota también desaconseja buscar ayuda de empresas intermediarias, lo que podría dar lugar a mayores rescates o esquemas fraudulentos.

Looy Ransomware es un software malicioso que pertenece a la familia de ransomware STOP/DJVU, que se ha caracterizado por atacar tanto a usuarios individuales como a empresas. Está diseñado para cifrar archivos en la computadora infectada, haciéndolos inaccesibles para el usuario, y luego exige el pago de un rescate a cambio de la clave de descifrado. Al cifrar los archivos, Looy Ransomware agrega el .looy extensión de los nombres de archivos, que es un claro indicador de la infección. Looy Ransomware utiliza un algoritmo de cifrado robusto para bloquear archivos. Si bien el tipo específico de cifrado no se detalla en las fuentes proporcionadas, es común que ransomware como Looy utilice AES (Estándar de cifrado avanzado) o un método seguro similar para cifrar archivos. Después del cifrado, Looy Ransomware crea una nota de rescate llamada _readme.txt y lo coloca en el escritorio o en carpetas que contienen archivos cifrados. Esta nota contiene instrucciones para la víctima sobre cómo ponerse en contacto con los atacantes y pagar el rescate para recibir potencialmente la clave de descifrado.

Vook Ransomware es un software malicioso que pertenece a la familia de ransomware STOP/Djvu, conocido por su impacto generalizado en datos personales y organizacionales. Esta variante de ransomware cifra los archivos de los sistemas infectados, haciéndolos inaccesibles para los usuarios y exige un rescate por descifrarlos. Una vez que Vook Ransomware infecta una computadora, emplea el algoritmo de cifrado Salsa20 para bloquear archivos, agregando el .vook extensión para cada archivo cifrado. Esto hace que los archivos sean inaccesibles y fácilmente identificables como cifrados por esta cepa de ransomware en particular. Tras el proceso de cifrado, Vook Ransomware genera una nota de rescate llamada _readme.txt y lo coloca en carpetas que contienen archivos cifrados. Esta nota contiene instrucciones para las víctimas sobre cómo contactar a los atacantes por correo electrónico y el monto del rescate, generalmente exigido en criptomonedas. La nota también puede ofrecer el descifrado de un único archivo de forma gratuita como "garantía" de que los atacantes podrán descifrar los archivos previo pago.

Rocklee Ransomware es una variante de la familia de ransomware Makop que se dirige a las computadoras para cifrar datos y exigir un rescate por la clave de descifrado. Tras la infección, Rocklee Ransomware cifra los archivos y modifica sus nombres añadiendo el ID de la víctima, la dirección de correo electrónico del atacante y el .rocklee extensión. Por ejemplo, un archivo llamado 1.jpg sería renombrado a 1.jpg.[random-ID].[cyberrestore2024@onionmail.org].rocklee. El algoritmo de cifrado específico utilizado por Rocklee Ransomware no se detalla en las fuentes proporcionadas. Sin embargo, el ransomware de esta naturaleza suele utilizar potentes algoritmos de cifrado que son difíciles de descifrar sin la clave de descifrado única que poseen los atacantes. Rocklee Ransomware lanza una nota de rescate llamada +README-WARNING+.txt en los directorios con archivos cifrados. Esta nota informa a las víctimas que sus archivos han sido cifrados y proporciona instrucciones sobre cómo pagar el rescate para recuperar los archivos. También incluye información de contacto de los atacantes y advierte contra intentar descifrar archivos sin la clave adecuada, ya que esto podría provocar daños mayores.

Kool Ransomware es un tipo de software malicioso que pertenece a la categoría más amplia de ransomware. Está diseñado para infiltrarse en la computadora de un usuario, cifrar archivos y exigir un rescate por la clave de descifrado. Kool Ransomware es parte de la familia de ransomware STOP/Djvu, conocida por apuntar a usuarios de Windows y cifrar archivos con varias extensiones. Una vez que Kool Ransomware ha infectado una computadora, cifra los archivos y agrega una extensión de archivo específica a los archivos cifrados, que es .kool en este caso. El cifrado utilizado por Kool Ransomware es generalmente un algoritmo simétrico o asimétrico que hace que los archivos sean inaccesibles sin una clave de descifrado única. Después de cifrar los archivos, Kool Ransomware genera una nota de rescate, normalmente llamada _readme.txt o similar, y lo coloca en carpetas que contienen los archivos cifrados. Esta nota contiene instrucciones para la víctima sobre cómo pagar el rescate y, a menudo, incluye una fecha límite y advertencias sobre las consecuencias del incumplimiento. En este artículo, mostramos cómo eliminar Kool Ransomware y descifrar archivos .kool de forma gratuita en Windows 11, 10, 8, 7.

Proton Ransomware es un software malicioso diseñado para cifrar archivos en la computadora de una víctima, haciéndolos inaccesibles hasta que se pague un rescate. Proton Ransomware es un tipo de malware que cifra archivos en la computadora infectada, agrega extensiones específicas a los nombres de los archivos y exige un rescate a la víctima para restaurar el acceso a los archivos cifrados. Se ha descubierto en varias formas, con algunas variantes agregando extensiones como .c77l, .ZENEX or .SWIFT extensiones de los archivos afectados junto con los correos electrónicos (.[decrypt.computer@gmail.com].c77L, [decrypthelp0@gmail.com].ZENEX, .[swift_1@tutamail.com].SWIFT). Básicamente, SWIFT Ransomware y ZENEX Ransomware son solo variaciones de Proton Ransomware. Estas variaciones crean los siguientes archivos de notas de rescate: #Zenex-Help.txt, #SWIFT-Help.txt or #Restore-files.txt. El ransomware utiliza algoritmos AES (Advanced Encryption Standard) y ECC (Elliptic Curve Cryptography) para cifrar archivos, asegurando que el cifrado sea lo suficientemente fuerte como para evitar el descifrado no autorizado sin la clave única en poder de los atacantes. Este artículo tiene como objetivo proporcionar una descripción general completa de Proton Ransomware, incluidos sus métodos de infección, las extensiones de archivo que agrega, los algoritmos de cifrado que utiliza, la nota de rescate que crea y las posibilidades de descifrado.

LockBit 3.0, también conocido como LockBit Black, es una variedad sofisticada de ransomware que cifra datos en sistemas específicos, interrumpiendo el acceso a los recursos del sistema y de la red. Es parte de una operación de Ransomware-as-a-Service (RaaS), lo que significa que lo utilizan afiliados que lo utilizan en ataques cibernéticos a cambio de una parte de las ganancias del rescate. LockBit 3.0 es conocido por sus rápidas capacidades de cifrado y ha estado activo desde al menos marzo de 2022. Durante el proceso de cifrado, LockBit 3.0 agrega una extensión específica a los archivos cifrados. Esta extensión puede variar, pero los ejemplos incluyen "HLJkNskOq" y "19MqZqZ0s". El ransomware cambia los íconos de los archivos cifrados y altera el fondo de pantalla del escritorio para informar a las víctimas del ataque. LockBit 3.0 lanza una nota de rescate, normalmente llamada [cadena_aleatoria].README.txt o un archivo de texto similar, en cada carpeta cifrada. La nota contiene instrucciones para contactar a los atacantes y pagar el rescate, exigiendo a menudo el pago en criptomonedas.

RansomHub Ransomware es un tipo de software malicioso que se incluye en la categoría de virus de cifrado de archivos. Está diseñado para infiltrarse en sistemas informáticos, cifrar archivos y exigir un rescate por la clave de descifrado. A diferencia del ransomware tradicional, que cifra archivos y exige un pago, RansomHouse, que está asociado con RansomHub, se centra en violar redes a través de vulnerabilidades para robar datos y obligar a las víctimas a pagar sin necesariamente utilizar cifrado. RansomHub ransomware puede agregar varias extensiones de archivo a los archivos cifrados, como .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o una extensión de 6 a 7 caracteres aleatorios. Los algoritmos de cifrado específicos utilizados por RansomHub no se detallan, pero el ransomware suele emplear métodos de cifrado sólidos como AES o RSA para evitar el descifrado no autorizado. RansomHub crea notas de rescate con instrucciones para las víctimas sobre cómo pagar el rescate y potencialmente recuperar sus archivos. Los nombres de archivos de notas de rescate comunes incluyen README_{cadena-aleatoria}.txty varios otros. La ubicación de la nota de rescate suele estar dentro de los directorios de archivos cifrados.