Ransomware

Kiop Ransomware es otro representante de STOP/Djvu virus, que ha estado atormentando a los usuarios desde 2017. Esta versión particular se lanzó a principios de abril de 2023 y agrega .kiop extensión a todos los archivos cifrados, como se puede ver en su nombre. Aparte de eso, es el mismo virus que cifra archivos y exige rescates que cientos de sus predecesores. El ransomware de este tipo utiliza la misma criptografía, es decir, lamentablemente, aún no se puede descifrar. Kiop Ransomware, al igual que otras variantes de STOP/Djvu Ransomware, generalmente usa una combinación de algoritmos de cifrado simétricos y asimétricos para cifrar los archivos de la víctima. Específicamente, el ransomware usa el cifrado AES-256 para cifrar los archivos de la víctima de forma simétrica y luego usa el cifrado RSA-2048 para cifrar la clave de cifrado AES de forma asimétrica. Esto significa que el atacante posee la clave RSA privada necesaria para descifrar la clave de cifrado AES y, por lo tanto, puede descifrar los archivos de la víctima después de recibir el pago. Lo único que ha cambiado durante los últimos años son las direcciones de correo electrónico de extensión y contacto. El nombre de la nota de rescate permanece sin cambios (_readme.txt) y puede verificar el contenido en el cuadro de texto a continuación.

Skylock es una nueva variante de ransomware que se origina en la familia MedusaLocker. Tras infiltrarse con éxito, el virus cifra el acceso a los archivos (basado en criptografía AES y RSA) y asigna el .skylock extensión a ellos. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf al encriptar con éxito. Para revertir el daño y devolver los datos bloqueados, los ciberdelincuentes presentan instrucciones de descifrado dentro del How_to_back_files.html archivo. En general, a las víctimas se les dice que necesitan comprar un software de descifrado especial de los ciberdelincuentes detrás de la infección. Para hacerlo, deben establecer contacto con los extorsionadores utilizando uno de los canales de comunicación (ya sea a través del enlace en el navegador TOR o direcciones de correo electrónico proporcionadas). También se dice que las víctimas pueden enviar 2 o 3 archivos que no contengan información importante y recuperarlos descifrados de forma gratuita. Esto es para demostrar que los actores de amenazas son realmente capaces de descifrar los archivos. Si las víctimas se niegan a ponerse en contacto con los extorsionadores y pagan por el descifrado, sus datos se filtrarán a los recursos públicos, lo que puede ocasionar daños a la reputación de la empresa o la identidad personal de los usuarios. Desafortunadamente, a pesar de que el descifrado puede ser inasequible o innecesario para algunos usuarios, los ciberdelincuentes suelen ser las únicas figuras capaces de descifrar el acceso a los datos.

Si sus archivos no están disponibles, no se pueden leer y se .kiwm extensiones, significa que su computadora está infectada con Kiwm Ransomware (variación de STOP Ransomware o como es, a veces, llamado DjVu Ransomware). Es un programa malicioso que pertenece al grupo de virus ransomware. Esta versión en particular se lanzó a principios de abril de 2023. Este virus puede infectar casi todas las versiones modernas de los sistemas operativos de la familia Windows, incluidos Windows 7, Windows 8, Windows 10 y el último Windows 11. El malware utiliza un cifrado híbrido. y una clave RSA larga, lo que prácticamente elimina la posibilidad de seleccionar una clave para los archivos de descifrado automático. Al igual que otros virus similares, el objetivo de Kiwm Ransomware es obligar a los usuarios a comprar el programa y la clave necesarios para descifrar los archivos que se han cifrado. La versión, que se encuentra actualmente en investigación, es casi idéntica a las anteriores, excepto por los nuevos correos electrónicos utilizados para contactar a los malhechores y las nuevas extensiones agregadas.

Kitz Ransomware (pertenece a la familia de STOP Ransomware or Djvu Ransomware) es un virus de cifrado de archivos de alto riesgo que afecta a los sistemas Windows. A principios de abril de 2023, la nueva generación de este malware comenzó a codificar archivos usando .kitz extensiones. El virus se dirige a tipos de archivos importantes y valiosos, como fotos, documentos, videos, archivos, archivos cifrados que se vuelven inutilizables. Put ransomware _readme.txt archivo, que se llama "nota de rescate" o "nota de rescate" en el escritorio y en las carpetas con archivos cifrados. Los desarrolladores utilizan los siguientes correos electrónicos de contacto: support@freshmail.top y datarestorehelp@airmail.cc. Los piratas informáticos exigen $ 980 por el descifrado de sus archivos (el mensaje indica que las víctimas obtendrán un 50% de descuento si contactan a los ciberdelincuentes dentro de las 72 horas posteriores al cifrado). Según muchos informes, los malhechores a menudo no responden a las víctimas cuando reciben el pago del rescate. Recomendamos enfáticamente no pagar ningún dinero. Los archivos cifrados por algunas versiones de Kitz Ransomware se pueden descifrar con la ayuda de STOP Djvu Decryptor.

BlackByteNT es una infección de ransomware descubierta recientemente. Después de infiltrarse en el sistema, todos los tipos de archivos potencialmente importantes se volverán inaccesibles debido al cifrado completo. Además de encriptar el acceso a los datos, el encriptador de archivos también reemplaza los nombres de archivo originales con una cadena aleatoria de caracteres y el .blackbytent extensión al final. Por ejemplo, un archivo como 1.pdf cambiará a algo como dnoJJlc=.blackbytent y perder su icono original también. La última parte importante del ransomware es BB_Readme_[cadena_aleatoria].txt⁣ – una nota de rescate que contiene pautas de descifrado. Los ciberdelincuentes dicen que los datos han sido encriptados y filtrados a sus servidores. Para devolver el acceso y evitar que los datos se filtren, se exige a las víctimas que cooperen con los extorsionadores y sigan la información presentada a través del enlace TOR proporcionado en la nota. Si las víctimas retrasan la comunicación, el precio del descifrado aumentará y, dentro de los 4 días posteriores a la inacción, las víctimas ya no podrán utilizar los servicios de descifrado de los ciberdelincuentes. Por último, los ciberdelincuentes advierten a las víctimas que no utilicen herramientas de descifrado de terceros, asumiendo que existe el riesgo de dañarlas y, por lo tanto, perder la posibilidad de descifrarlas.

STOP Ransomware (Djvu Ransomware) es oficialmente el virus de cifrado más común del mundo. El cifrador funciona según el esquema clásico: cifra los archivos, les agrega una nueva extensión y coloca una nota de rescate en la máquina infectada. Más del 50% de las computadoras infectadas con ransomware están infectadas con STOP Ransomware. Tiene segundo nombre – ⁣Djvu Ransomware, después de la extensión .djvu, que se agregó a los archivos en las primeras computadoras infectadas. Con varias modificaciones menores y mayores, el virus continúa su devastadora actividad en la actualidad. Una variación reciente de malware (Kifr Ransomware apareció en abril de 2023) agrega .kifr extensión a los archivos. Kifr Ransomware cifra los archivos de las víctimas utilizando el algoritmo de cifrado AES. AES (Estándar de cifrado avanzado) es un algoritmo de cifrado simétrico ampliamente utilizado que se considera seguro y se utiliza para proteger datos confidenciales en muchas aplicaciones. El cifrado AES utiliza una clave secreta para cifrar y descifrar datos, y la solidez del cifrado depende de la longitud de la clave utilizada. Por supuesto, los archivos afectados se vuelven inaccesibles sin un "descifrador" especial, que debe comprarse a los piratas informáticos.

Nitz Ransomware es una gran familia de virus de cifrado con más de un año de historia. Ha sufrido múltiples modificaciones visuales y técnicas a lo largo del tiempo. Este artículo describirá las peculiares propiedades de las últimas versiones de este malware. Desde principios de abril de 2023, STOP Ransomware comenzó a agregar las siguientes extensiones a los archivos cifrados: .nitz. Y después del nombre de la extensión, se llama "Nitz Ransomware". Virus modifica el archivo "hosts" para bloquear actualizaciones de Windows, programas antivirus y sitios relacionados con noticias de seguridad. El proceso de infección también parece instalar actualizaciones de Windows, el malware genera una ventana falsa y una barra de progreso para esto. Esta versión de STOP Ransomware ahora usa las siguientes direcciones de correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc. STOP Ransomware crea un archivo de nota de rescate _readme.txt.

Si llegaste a este artículo, lo más probable es que te haya golpeado Niwm Ransomware, que cifró sus archivos y modificó sus extensiones para .niwm. El nombre Niwm solo se le da a este malware para ayudar a los usuarios a encontrar la solución de eliminación y descifrado, y de acuerdo con el sufijo que agrega. De hecho, esta es solo la versión 681-th de STOP Ransomware (aveces llamado Djvu Ransomware), que lleva activo más de 5 años y se convirtió en una de las familias de ransomware más extendidas. Niwm se lanzó en los primeros días de abril de 2023. Desafortunadamente, ahora hay pocas posibilidades de descifrado al 100 %, ya que utiliza algoritmos de cifrado fuertes; sin embargo, con las instrucciones a continuación, podrá recuperar algunos archivos. utiliza la combinación de algoritmos de cifrado RSA y AES para cifrar los archivos de la víctima. El algoritmo RSA se usa para encriptar la clave AES y el algoritmo AES se usa para encriptar los archivos de la víctima. La clave AES se genera aleatoriamente para cada víctima y se almacena en el servidor del atacante. Pero primero debe eliminar los archivos de ransomware y eliminar sus procesos. A continuación se muestra un ejemplo de una nota de rescate de Niwm Ransomware, que deja en el escritorio (_readme.txt). Es bastante típico y permanece casi igual con cambios menores durante varios años.