Ransomware

@BLOCKED es una infección de ransomware que encripta datos potencialmente valiosos y requiere que las víctimas realicen ciertas acciones para restaurar el acceso a ellos. Después de ejecutar el cifrado con éxito, a todos los nombres de archivo se les asignará una extensión personalizada que comience con un cadena aleatoria de caracteres y terminando con @BLOCKED. Por ejemplo, un archivo como 1.pdf cambiará a algo como 1.pdf.i34ot23@BLOCKED y dejar de ser accesible. Posteriormente, el cifrado exitoso es seguido por la creación de una nota de texto de rescate, también nombrada con caracteres aleatorios que preceden a la extensión ".txt" (por ejemplo, mesgwuibjpdrdum.txt). Esta nota contiene instrucciones sobre cómo recuperar los datos cifrados.

La epidemia de STOP Ransomware todavía continúa, con su otro sucesor llamado Tyos Ransomware. Este desagradable virus afecta a miles de computadoras en todo el mundo, principalmente en EE. UU., Canadá, Europa, Sudáfrica, Australia y Nueva Zelanda. La versión más reciente, surgida a finales de marzo de 2023, utiliza .tyos extensión, que agrega al final de los archivos cifrados. Como DjVu Ransomware utiliza el algoritmo de cifrado AES, la probabilidad de descifrado es baja, pero existe. Tyos Ransomware daña los datos importantes de los usuarios: fotos, videos, documentos y otros tipos de información, por los que las víctimas están listas para pagar el rescate. Al mismo tiempo, no toca los archivos del sistema para mantener Windows operativo. La última generación de este virus crea un archivo de nota de rescate llamado _readme.txt. Este archivo proporciona información general sobre la infección, el monto del rescate y los detalles de contacto.

Typo Ransomware es un criptovirus devastador (variación de STOP Ransomware), que utiliza el algoritmo de cifrado asimétrico AES-256 para restringir el acceso de los usuarios a sus archivos sin la clave. El malware se agrega .typo las extensiones de los archivos los hacen ilegibles y exigen un rescate para descifrarlos. La variante "Typo" apareció en marzo de 2023 e infectó a decenas de miles de computadoras en todo el mundo. Desafortunadamente, debido a modificaciones técnicas en la versión más reciente, la recuperación de archivos es imposible sin copias de seguridad. Sin embargo, existen ciertas funciones y herramientas estándar de Windows que pueden ayudarlo a restaurar al menos algunos archivos. El software de recuperación de archivos también puede ser útil en este caso. En el cuadro de texto a continuación, hay un mensaje de texto de _readme.txt archivo, llamado "nota de rescate". A continuación, en el cuadro de texto, puede familiarizarse con la muestra de dicho archivo. En este archivo, los malhechores revelan información de contacto, el precio del descifrado y las formas de pagar el rescate.

Rans-A es una nueva variante de cifrado de archivos que pertenece a la familia Xorist. Después de infiltrarse con éxito en el sistema, el ransomware procederá a cifrar datos potencialmente importantes y agregará .Rans-A al nombre de archivo original. Como resultado, un archivo previamente accesible como 1.pdf cambiará a 1.pdf.Rans-A y convertirse en acceso restringido. El objetivo principal del ransomware es extorsionar a las víctimas para que descifren los archivos. Por lo tanto, el virus muestra un mensaje de error y crea un archivo de texto llamado HOW TO DECRYPT FILES.txt que ambos muestran instrucciones de descifrado (en portugués). En general, se dice que las víctimas la única forma de recuperar los datos en su estado original es ponerse en contacto con los ciberdelincuentes dentro del plazo establecido. Si las víctimas no lo hacen al final del plazo, supuestamente el descifrado ya no estará disponible. Además, la nota también advierte a las víctimas que no eliminen, cambien el nombre o informen el mensaje de rescate a cualquier sitio web/autoridad. De lo contrario, el correo electrónico de los ciberdelincuentes puede terminar bloqueado y ya no aceptará solicitudes de descifrado de datos. Como regla general, al comunicarse con los ciberdelincuentes, establecen un precio que se debe pagar por el descifrado.

La cantidad de consultas relacionadas con la nueva actividad de ransomware crece cada día con nuevas infecciones. Esta vez, los usuarios están lidiando con Tycx Ransomware, que es una pieza nueva y peligrosa desarrollada por el Djvu/STOP familia. Esta versión particular comenzó a infectar computadoras en la segunda quincena de marzo de 2023. Su actividad reciente ha encriptado una gran cantidad de datos personales con algoritmos fuertes. A pesar de que Tycx Ransomware aún no se ha inspeccionado por completo, hay algunas cosas que ya están claras. Por ejemplo, el virus reconfigura varios tipos de datos (imágenes, documentos, bases de datos, etc.) cambiando las extensiones originales a .tycx. Esto significa que todos los tipos de datos guardarán su nombre inicial, pero cambiarán la extensión principal a algo como esto "1.pdf.tycx". Una vez que el proceso de cifrado llegue a su fin, ya no podrá acceder a sus datos. Para recuperarlo, los extorsionistas han programado la creación de notas idénticas colocadas en carpetas cifradas o en un escritorio. El nombre de la nota suele ser _readme.txt, que contiene instrucciones detalladas sobre cómo recuperar sus datos.

Tywd Ransomware (la última versión de STOP or Djvu Ransomware) es extremadamente dañino y uno de los virus de encriptación más activos. Más de la mitad de los envíos de ransomware a ID-Ransomware (servicio de identificación de ransomware) son realizados por víctimas de STOP Ransomware. Aunque lleva un par de años en circulación, el número de infecciones provocadas por Tywd Ransomware sigue aumentando. Puede resultar algo irónico, pero la mayoría de las víctimas (por el momento) son usuarios de software pirateado. La versión del virus, que se está considerando hoy, agrega .tywd extensión a archivos. El programa malicioso también crea un archivo de texto (llamado _readme.txt) en cada carpeta infectada, lo que le explica al usuario que su computadora está infectada y que no podrá acceder a sus datos hasta que pague un rescate de $980. Si el usuario paga dentro de las 72 horas posteriores a la infección, el rescate se reduce a 490 dólares estadounidenses. El ejemplo de esta nota de rescate se presenta a continuación.

Darj Ransomware es un virus de encriptación frecuente y chantajista, que se dirige a archivos personales valiosos. Pertenece a STOP/Djvu grupo de malware. Después de la infección y la codificación de datos, los piratas informáticos comienzan a extorsionar el rescate. Ha habido más de 600 versiones del ransomware, cada versión se modifica ligeramente para eludir la protección, pero las huellas principales siguen siendo las mismas. El malware usa AES-256 en modo CFB. Poco después del lanzamiento, el ejecutable del criptógrafo de la familia STOP se conecta a C&C, recupera la clave de cifrado y el ID de infección para la PC de la víctima. Los datos se transmiten a través de HTTP simple en forma de JSON. Si C&C no está disponible (la PC no está conectada a Internet, el servidor en sí no funciona), el criptógrafo usa la clave y la identificación codificadas y realiza el cifrado fuera de línea. En este caso, puede descifrar los archivos sin pagar un rescate. Las variaciones de STOP Ransomware se pueden distinguir entre sí por las notas de rescate y las extensiones que agrega a los archivos cifrados. Para STOP Ransomware bajo investigación hoy, la extensión es: .darj. El archivo de la nota de rescate _readme.txt se presenta a continuación en el cuadro de texto y la imagen. En el siguiente artículo, explicamos cómo eliminar Darj Ransomware por completo y las formas de descifrar o restaurar archivos .darj.

Basn es una infección de ransomware que se dirige a varias empresas. Al infiltrarse, escanea rápidamente el sistema en busca de archivos potencialmente importantes (por ejemplo, documentos, bases de datos, videos, imágenes, etc.) y encripta el acceso a ellos. Durante este proceso, el virus también asigna su propio .basn extensión para resaltar los datos bloqueados. Por ejemplo, un archivo originalmente llamado 1.xlsx cambiará a 1.xlsx.basn y restablezca su icono en blanco. Después de una encriptación exitosa, el encriptador de archivos también suelta un archivo de texto llamado unlock your files.txt con instrucciones de descifrado en el interior. Dentro de la nota, se aclara que los datos de la víctima han sido encriptados y extraídos a los servidores de los ciberdelincuentes. Para desbloquear los datos cifrados y evitar la fuga de datos a recursos/cifras dudosas, los extorsionadores exigen a las víctimas que paguen un rescate en criptomonedas Bitcoin o Monero. El precio no se revela en la nota, ya que es probable que varíe según la cantidad y el valor de los datos cifrados. Desafortunadamente, a menos que el virus tenga vulnerabilidades graves que puedan ser explotadas, los ciberdelincuentes suelen ser las únicas figuras capaces de descifrar el acceso a los datos de forma completa y segura. Por ahora, no se sabe de ningún tercero que pueda eludir el cifrado aplicado por Basn Ransomware. Las únicas opciones disponibles para la recuperación de datos son colaborar con los desarrolladores de ransomware u obtener datos de las copias de seguridad existentes. Las copias de seguridad son copias de datos almacenados en dispositivos externos, como unidades USB, discos duros externos o SSD. El único inconveniente de la autorrecuperación es que los actores de amenazas pueden publicar los datos recopilados y, por lo tanto, dañar la reputación de algunas empresas si realmente tienen la intención de hacerlo.