Ransomware

Coty Ransomware es parte de un gran STOP/Djvu familia de ransomware. Obtuvo su nombre porque las versiones originales del malware agregaron el .stop (luego .djvu) y los cifró con una combinación de criptografía AES y RSA para hacer que los archivos sean inaccesibles en la computadora Windows infectada. Coty Ransomware según su nombre agrega .coty extensión. Esta versión apareció a fines de abril de 2023. Una vez que el ransomware Coty/STOP completa el procedimiento de encriptación, el virus crea una nota de rescate para _readme.txt expediente. El mensaje de los estafadores dice que las víctimas deben pagar el rescate dentro de las 72 horas. Los autores del virus STOP están exigiendo $490 durante los primeros tres días y $980 después de este período de tiempo. Para proporcionar confirmación, los piratas informáticos permiten que se envíen de 1 a 3 archivos "no muy grandes" para su descifrado gratuito a support@freshmail.top or datarestorehelp@airmail.cc para una prueba.

Cooper es un virus ransomware que infecta los sistemas para cifrar archivos potencialmente importantes y exige dinero para descifrarlos. Además de ejecutar un cifrado seguro, también asigna la .cooper extensión a los archivos afectados. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.cooper y perder su icono original. Después de este cambio, los archivos ya no se podrán usar, incluso si elimina la extensión agregada. Para revertir estos cambios, las instrucciones de descifrado se presentan dentro del Cooper_Recover.txt archivo. Los ciberdelincuentes instan a las víctimas a que se comuniquen con ellos por correo electrónico y paguen por un software de descifrado único. Los actores de amenazas son las únicas figuras que tienen acceso a él, y se dice que ninguna otra herramienta puede proporcionar el descifrado de archivos .cooper cifrados. Durante el contacto, también se les pide a las víctimas que incluyan la identificación en la línea de asunto de un mensaje de correo electrónico. Desafortunadamente, a menos que tenga una copia de seguridad disponible que pueda usarse para recuperar copias de archivos cifrados, pagar el rescate a los ciberdelincuentes podría ser la única forma de recuperar sus archivos. Múltiples infecciones de ransomware utilizan fuertes algoritmos de cifrado y generan claves en línea, lo que garantiza que el descifrado sea apenas posible sin la ayuda de los desarrolladores iniciales.

Coza es una nueva muestra de ransomware desarrollada por el notorio grupo de extorsionistas STOP/Djvu. Al igual que muchas otras variantes publicadas por estos ciberdelincuentes, esta emplea un patrón de encriptación y extorsión casi idéntico. Al establecerse en una máquina infectada, el virus comienza a escanear y, por lo tanto, cifrar piezas de datos potencialmente importantes. Al hacerlo, el virus tiene como objetivo crear más incentivos para que las víctimas paguen por el descifrado propuesto por los atacantes. Además del cifrado, el malware también se asegura de que las víctimas puedan diferenciar los archivos bloqueados de los no bloqueados, simplemente asignando el .coza extensión. Por ejemplo, un archivo previamente llamado 1.xlsx cambiará a 1.xlsx.coza, 1.pdf a 1.pdf.coza y así sucesivamente con otros tipos de archivos específicos. Para deshacer el cifrado, se dice que las víctimas siguen las instrucciones dentro del _readme.txt nota de texto.

Pwpdvl es un virus ransomware diseñado para extorsionar a las víctimas mediante la encriptación de datos. En otras palabras, las personas afectadas por este malware ya no podrán acceder ni ver sus archivos. Cuando Pwpdvl cifra archivos potencialmente importantes, también asigna la identificación de la víctima, junto con el .pwpdvl extensión al final. Por ejemplo, un archivo como 1.pdf cambiará a algo como 1.pdf.[ID-9ECFA84E].pwpdvl y descansar su icono original. Para que las víctimas paguen dinero por la recuperación, el cifrador de archivos crea una nota de texto de rescate (RESTORE_FILES_INFO.txt), que contiene instrucciones de descifrado. Se exige a las víctimas que se comuniquen con los estafadores (a través de Bitmessage o qTOX) y paguen por el descifrado en la criptomoneda Monero (XMR). Antes de enviar el pago, los ciberdelincuentes también ofrecen probar el descifrado gratuito: las víctimas pueden enviar 2 archivos cifrados (no importantes y de 1 MB como máximo) y desbloquearlos de forma gratuita. Este es un tipo de garantía que ofrecen los extorsionadores para demostrar sus habilidades de descifrado y dar confianza adicional para pagar el rescate. Sin embargo, tenga en cuenta que confiar en los ciberdelincuentes siempre es un riesgo. Algunos usuarios se dejan engañar y no reciben las herramientas/claves de descifrado prometidas a pesar de cumplir con las demandas. A pesar de esto, lamentablemente solo los desarrolladores de ransomware tienen las claves de descifrado necesarias para restaurar de forma segura el acceso a los datos. El descifrado independiente utilizando herramientas de terceros o instantáneas de Windows puede ser posible, pero en casos muy raros, cuando el ransomware contiene fallas o no logró cifrar los datos según lo previsto.

VapeV7 es un virus ransomware diseñado para cifrar datos en sistemas infectados con éxito. Al hacerlo, el virus se asegura de que los usuarios ya no puedan acceder o ver sus propios datos, lo que permite a los actores de amenazas exigir dinero para su descifrado. Los archivos cifrados aparecerán con el nuevo .VapeV7 extensión y restablece sus íconos originales en blanco. Después de esto, a las víctimas se les presentarán instrucciones de descifrado en una ventana emergente dedicada. Para restaurar el acceso a los datos, se exige a las víctimas que envíen $200 a la billetera BTC de los ciberdelincuentes (a través de una dirección dentro de la ventana emergente) y notifiquen a los extorsionadores con la identificación de la transacción por correo electrónico. Tenga en cuenta que las billeteras BTC y los correos electrónicos de contacto cambian cada segundo, lo que genera mucha incertidumbre sobre qué dirección de billetera y correo electrónico usar. Además, las billeteras BTC mostradas son en realidad incorrectas y, por lo tanto, no existen en absoluto. Un fenómeno tan extraño podría ser una señal de que VapeV7 Ransomware tiene errores o aún está en desarrollo. Sin embargo, no se excluye que los ciberdelincuentes detrás de este ransomware eliminen los errores y golpeen a las futuras víctimas con pautas de descifrado más confiables. Desafortunadamente, a pesar de este hecho, es menos probable que los archivos cifrados por VapeV7 Ransomware se puedan descifrar manualmente.

Charmant es un programa malicioso que entra en la categoría de ransomware. El malware de este tipo está diseñado para cifrar el acceso a los datos y hacer que las víctimas paguen dinero por su descifrado. Mientras cifra el acceso a los archivos almacenados en el sistema, esta variante de ransomware también asigna el .charmant extensión para resaltar los datos bloqueados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf y perder su icono original. Inmediatamente después de que finaliza el cifrado, aparece una nota de texto denominada #RECOVERY#.txt se crea para presentar pautas de descifrado. Para establecer contacto con los ciberdelincuentes y solicitar el descifrado de los archivos bloqueados, se indica a las víctimas que escriban por correo electrónico o mediante el cliente Jabber (un servicio de mensajería seguro). Después de una comunicación exitosa con los ciberdelincuentes, lo más probable es que se exija a las víctimas que paguen una determinada tarifa de rescate para obtener un software especial y una clave de descifrado. Además, el mensaje también advierte contra la ejecución de modificaciones en los archivos o el intento de descifrarlos con herramientas de terceros, ya que tales acciones pueden provocar daños permanentes. Si bien esta información puede estar inicialmente diseñada para asustar a los usuarios inexpertos y eventualmente pagar por el descifrado, en realidad es cierta. Sin las claves de descifrado correctas que almacenan los ciberdelincuentes, rara vez es posible descifrar los archivos por completo y sin riesgos de daños. En el momento de escribir este artículo, no se conoce ninguna herramienta de terceros que pueda descifrar los datos bloqueados. En casos excepcionales, las herramientas de descifrado genéricas pueden funcionar solo si el ransomware contenía fallas o no logró cifrar los archivos de la manera prevista.

Recientemente, los expertos han observado la epidemia del virus. Boty Ransomware (una variante de STOP Ransomware or Djvu Ransomware). Este malware apareció en abril de 2023. Es un virus de encriptación que utiliza un algoritmo de encriptación AES-256 fuerte para encriptar archivos de usuario y hace que no estén disponibles para su uso sin una clave de desencriptación. Las últimas versiones de esta plaga agregan .boty extensiones a los archivos afectados. Boty Ransomware crea un archivo de texto especial, que se llama "nota de rescate" y se llama _readme.txt. En este archivo de texto, los malhechores proporcionan detalles de contacto, información general sobre el cifrado y opciones para el descifrado. El virus lo copia en el escritorio y en las carpetas con archivos cifrados. Los malhechores pueden ser contactados por correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc.

Boza Ransomware es una nueva variante del STOP/Djvu Ransomware que surgió a principios de abril de 2023. Este ransomware agrega el .boza extensión a los archivos cifrados, haciéndolos inaccesibles para el usuario. Al igual que otras variantes de ransomware, Boza Ransomware utiliza algoritmos de cifrado avanzados para bloquear archivos y exige un rescate a cambio de la clave de descifrado. El ransomware se dirige a una amplia gama de archivos, incluidos documentos, imágenes, videos, audios y otros datos del usuario. Una vez que el ransomware infecta una computadora, escanea todo el sistema en busca de archivos y los cifra utilizando el algoritmo de cifrado AES-256, haciéndolos inaccesibles. El ransomware también suelta una nota de rescate llamada _readme.txt, proporcionando instrucciones para que el usuario pague el rescate al atacante a cambio de la clave de descifrado. Los atacantes también utilizan una clave de cifrado única para cada sistema infectado, lo que dificulta que los investigadores de seguridad desarrollen una herramienta de descifrado universal.