Ransomware

Cylance es el nombre de una infección de ransomware que se dirige a los usuarios de Windows y Linux. Los usuarios infectados con este tipo de malware ya no podrán acceder a sus datos debido al cifrado. Además, las víctimas también verán los archivos afectados modificados con el .Cylance extensión. Después de esto, ya no estarán accesibles y las víctimas deberán seguir las instrucciones de descifrado en la nota de rescate generada (llamada CYLANCE_README.txt). Tenga en cuenta que Cylance Ransomware no tiene nada que ver con Cylance de BlackBerry: soluciones legítimas de ciberseguridad empresarial. En general, la nota de rescate dice que los datos de la víctima han sido cifrados y que los ciberdelincuentes son los únicos poseedores de claves privadas que pueden descifrarlos. Para obtener esta clave y, presumiblemente, el software para ejecutar el descifrado, se les indica a las víctimas que se comuniquen con los estafadores por correo electrónico y les transfieran dinero. El precio no se revela y lo más probable es que se calcule para cada víctima por separado. Además, los ciberdelincuentes también ofrecen probar el descifrado de forma gratuita enviando un archivo cifrado. No importa cuán confiables parezcan los ciberdelincuentes, siempre se desaconseja colaborar con ellos y pagar el rescate. Muchas víctimas terminan siendo engañadas y no reciben las herramientas de descifrado prometidas. Si bien no se ha informado que este sea el caso con Cylance Ransomware, el riesgo existe de todos modos.

Nifr Ransomware, ser parte de STOP Ransomware (DjVu Ransomware), es un elaborado virus encriptador que encripta los archivos del usuario y los hace inaccesibles. El malware utiliza un algoritmo de cifrado AES (Salsa20) irrompible, y el descifrado solo es posible en el 2-3% de los casos. Primero genera una clave de cifrado AES-256 única para cada archivo que cifra, que se utiliza para cifrar el contenido del archivo. Este proceso se conoce como cifrado simétrico, ya que se utiliza la misma clave para cifrar y descifrar el archivo. Después de cifrar el archivo con la clave AES-256, Nifr Ransomware cifra la clave AES-256 con una clave pública RSA-1024, que se incluye en el código del ransomware. Este proceso se conoce como cifrado asimétrico, ya que utiliza diferentes claves para el cifrado y descifrado. La versión reciente de STOP Ransomware agrega el siguiente sufijo o extensión: .nifr. La variación de virus correspondiente recibió nombres: Nifr Ransomware. Después de cifrar, el ransomware crea _readme.txt archivo, que los especialistas llaman "nota de rescate", y a continuación puede familiarizarse con el contenido de este archivo. La nota contiene instrucciones sobre cómo ponerse en contacto con los operadores de ransomware y pagar el rescate para recibir la clave de descifrado. El ransomware generalmente se distribuye a través de correos electrónicos no deseados, actualizaciones de software falsas y cracks/keygen de software. Es importante tener en cuenta que no se recomienda pagar el rescate, ya que alienta a los delincuentes y no hay garantía de que se proporcione la clave de descifrado.

D7k es el nombre de una infección de ransomware descubierta recientemente. Al igual que otras infecciones dentro de esta categoría, está diseñado para cifrar los datos almacenados en el sistema y extorsionar a las víctimas para descifrarlos. Durante el cifrado, todos los archivos de destino obtendrán .D7k extensión y restablezca sus íconos en blanco. Como resultado, los usuarios ya no podrán acceder a sus archivos, incluso después de eliminar manualmente la extensión recién asignada. Una vez que el cifrado exitoso llega a su fin, el virus crea un archivo de texto llamado note.txt, que contiene pautas de descifrado. La nota contiene un breve texto que exige 500 dólares por descifrar el archivo. Esta cantidad se enviará a la billetera de bitcoin adjunta por los ciberdelincuentes. El mensaje no incluye ningún canal de comunicación, lo que hace que el proceso de descifrado sea ambiguo. No se recomienda pagar el rescate porque muchos ciberdelincuentes engañan a sus víctimas y no envían a cambio los medios de descifrado prometidos. Sin embargo, en este caso, parece ser aún más arriesgado debido a la falta de canales de comunicación para contactar a los extorsionadores. A pesar de ello, los ciberdelincuentes suelen ser las únicas figuras capaces de desbloquear el acceso a los datos de forma completa y segura. En el momento en que se escribió este artículo, no se conocen herramientas públicas de terceros que eludan los cifrados asignados por D7k Ransomware. El descifrado con herramientas de terceros o el uso de instantáneas de Windows solo es posible en casos excepcionales cuando el ransomware tiene fallas o falla accidentalmente durante su operación por cualquier motivo. De lo contrario, las únicas formas de recuperar sus datos son colaborando con desarrolladores de ransomware o recuperando datos de copias de seguridad existentes. Las copias de seguridad son copias de datos almacenados en dispositivos externos, como unidades USB, discos duros externos o SSD.

Jycx Ransomware (en otra clasificación STOP Ransomware or Djvu Ransomware) es un malware dañino que bloquea el acceso a los archivos del usuario cifrándolos y requiere una compra. Fue lanzado en los últimos días de marzo de 2023 y llegó a decenas de miles de computadoras. El virus utiliza un algoritmo de cifrado irrompible (AES-256 con clave RSA-1024) y exige el pago de un rescate en Bitcoins. Sin embargo, debido a algunos errores de programación, hay casos en los que se pueden descifrar sus archivos. Una versión de STOP Ransomware, que estamos considerando hoy, agrega .jycx extensiones a archivos cifrados y, por lo tanto, obtuvo el nombre Jycx Ransomware. Después del cifrado, presenta el archivo _readme.txt a la víctima. Este archivo de texto contiene información sobre la infección, detalles de contacto y declaraciones falsas sobre las garantías de descifrado. Los siguientes correos electrónicos son utilizados por malhechores para comunicarse: support@freshmail.top y datarestorehelp@airmail.cc.

Hairysquid es una variante recién descubierta del Mimic ransomware. Después de la penetración, modifica la Política de grupo de Windows, desactiva la protección de Windows Defender y deshabilita otras características de Windows para excluir cualquier disuasión de su actividad maliciosa. El objetivo de esta infección es cifrar el acceso a los datos almacenados en el sistema y exigir dinero para su descifrado. Durante los procesos de encriptación, el virus adjunta el .Hairysquid extensión a todos los archivos afectados. Una vez hecho esto, un archivo como 1.pdf se volverá a 1.pdf.Hairysquid y cambiar su icono eventualmente. Las instrucciones sobre cómo descifrar los datos bloqueados se presentan en el READ_ME_DECRYPTION_HAIRYSQUID.txt nota, que se crea junto con el cifrado exitoso. En general, se dice que las víctimas han sido atacadas por ransomware, que cifró sus datos. Para revertir el daño y recuperar los archivos, las víctimas deben comunicarse con los estafadores a través de uno de los canales de comunicación provistos (TOX messenger, ICQ messenger, Skype y correo electrónico) y pagar el descifrado en Bitcoins. Se dice que el precio del descifrado se calcula en función del número y el valor potencial de los datos cifrados. Además, también se permite probar el descifrado de forma gratuita mediante el envío de 3 archivos bloqueados a los ciberdelincuentes. Por desgracia, normalmente es imposible descifrar los datos bloqueados sin la participación de los propios ciberdelincuentes.

Jyos Ransomware (aka Djvu Ransomware or STOP Ransomware) cifra los archivos de la víctima con Salsa20 (sistema de cifrado de flujo) y agrega una de las cientos de extensiones posibles, incluida la última descubierta .jyos. Este apareció a fines de marzo de 2023 e infectó miles de computadoras en todo el mundo. STOP es uno de los ransomware más activos en la actualidad, pero apenas se habla de él. La prevalencia de STOP también está confirmada por el extremadamente activo hilo del foro sobre Bleeping Computer, donde las víctimas buscan ayuda. El hecho es que este malware ataca principalmente a los fanáticos de contenido pirateado, visitantes de sitios sospechosos y se distribuye como parte de paquetes publicitarios. Existe la posibilidad de un descifrado exitoso; sin embargo, hasta la fecha, hay más de doscientas variantes de STOP Ransomware conocidas por los investigadores, y esa variedad complica significativamente la situación.

Jypo Ransomware es la próxima generación de STOP Ransomware familia de los mismos autores. La familia de ransomware es conocida por su amplia distribución y actualizaciones frecuentes con nuevas variantes. Al igual que otros miembros de la familia Djvu, Jypo Ransomware está diseñado para cifrar los archivos de la víctima y exigir el pago de un rescate a cambio de la clave de descifrado. La nota de rescate dejada por Jypo Ransomware le indica a la víctima que se comunique con los atacantes por correo electrónico para negociar el pago del rescate. Este virus apunta a archivos importantes del usuario, como documentos, fotos, bases de datos, música, correo. Ransomware los codifica con cifrado AES y agrega .jypo extensiones a los archivos afectados. Todas estas variaciones usan algoritmos similares, que son irrompibles, sin embargo, en ciertas condiciones, los archivos .jypo, cifrados por el ransomware, se pueden descifrar usando STOP Djvu Decryptor (que se proporciona a continuación). Esta versión de STOP Ransomware utiliza las siguientes direcciones de correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc. Jypo ransomware crea _readme.txt archivo de nota de rescate.

Jywd es una infección de ransomware que se origina en el Djvu/STOP familia. Esta familia es un grupo de desarrolladores responsables de infectar a un grupo de usuarios con diferentes encriptadores de archivos. Jywd es nuevo, apareció a fines de marzo de 2023, pero tiene rasgos muy similares a sus precursores. Jywd Ransomware, al igual que otras variantes de la familia STOP/Djvu Ransomware, utiliza una combinación de algoritmos de cifrado AES-256 y RSA-1024 para cifrar los archivos de la víctima. AES-256 se usa para cifrar los archivos, mientras que RSA-1024 se usa para cifrar la clave AES-256. Esto hace que sea extremadamente difícil recuperar los archivos cifrados sin la clave de descifrado. El virus cifra los datos personales mientras asigna la .jywd extensión. Para ilustrar, un archivo llamado 1.pdf experimentará un cambio a 1.pdf.jywd y restablecer su icono original después de un cifrado exitoso. Para descifrar los datos bloqueados, las víctimas reciben instrucciones a seguir dentro de una nota de rescate (_readme.txt).