Ransomware

Siendo sucesor de Djvu Ransomware, Coba es un virus de tipo ransomware que se dirige a datos personales. Al igual que otros programas maliciosos de este tipo, Coba ejecuta el cifrado de datos para exigir un rescate monetario de las víctimas. Se restringirá el acceso a todos los archivos atacados por Coba (incluidas imágenes, bases de datos, documentos, etc.) y también se modificarán visualmente. Por ejemplo, un archivo como 1.pdf cambiará su apariencia a 1.pdf.coba al final del cifrado. Los desarrolladores de esta variante de ransomware aplican la .coba extensión a cada uno de los archivos de destino almacenados en un sistema. Lo siguiente que hace después de manipular las extensiones de datos crea una nota de rescate (_readme.txt) que contiene instrucciones de descifrado. Una vez que los usuarios lo abren, se les presentará un texto escrito por los ciberdelincuentes. Este texto proporciona información sobre cómo devolver los datos cifrados.

SkullLocker es una nueva variante de ransomware. La investigación indica que se desarrolló sobre la base de Chaos Ransomware, otra infección devastadora y conocida. Tras una infiltración exitosa, SkullLocker encripta el acceso a los archivos, agrega su propio .skull extensión, y crea una nota de rescate (read_it.txt) con instrucciones de descifrado escritas en polaco. Aquí hay un texto completo presentado en la nota junto con su traducción al inglés. En general, los ciberdelincuentes exigen que los usuarios realicen un pago dentro de las 72 horas, de lo contrario, los datos se perderán de forma permanente. Se solicita a los usuarios que se familiaricen con los detalles de pago y recuperación a través del enlace TOR adjunto. Además, la nota desaconseja intentar recuperar archivos manualmente, ya que hacerlo puede causar daños permanentes a los archivos.

Coaq Ransomware es el subtipo de STOP Ransomware (o DJVU Ransomware) y tiene todas las características de esta familia de virus. El malware bloquea el acceso a los datos en las computadoras de la víctima cifrándolos con el algoritmo de cifrado AES. STOP Ransomware es uno de los ransomware más longevos. Las primeras infecciones se registraron en diciembre de 2017. Coaq Ransomware con dicho sufijo es otra generación más y agrega .coaq extensiones a archivos cifrados. Después del cifrado, el malware crea un archivo de nota de rescate: _readme.txt en el escritorio y en las carpetas con archivos codificados. En este archivo, los piratas informáticos proporcionan información sobre el descifrado y los datos de contacto, como los correos electrónicos: support@freshmail.top y datarestorehelp@airmail.cc.

Nuevas instancias de STOP Ransomware (DjVu Ransomware) continúan dañando los archivos de los usuarios en todo el mundo. STOP/Djvu Ransomware es un tipo específico de ransomware que ha estado activo desde 2017. Es un tipo de malware de cifrado de archivos que cifra los archivos de las víctimas y exige el pago a cambio de la clave de descifrado. Este criptovirus utiliza un complejo algoritmo de encriptación AES para bloquear el acceso de los usuarios a sus datos y extorsionar con un rescate de $490 o $980. Una de las nuevas variaciones de extensión, que apareció en octubre de 2022, es: .cosw. El ransomware correspondiente obtuvo el nombre Cosw Ransomware. El virus agrega dichos sufijos al final de los archivos cifrados. Si sus archivos tienen ese final y no son accesibles, significa que su PC está infectada con STOP Ransomware. Los desarrolladores de malware modifican ligeramente el virus técnicamente.

Goba Ransomware, que en realidad es la próxima generación de STOP Ransomware apareció a principios de marzo de 2023. Este virus cifra los archivos esenciales de los usuarios, como documentos, fotos, bases de datos, música con cifrado AES y agrega .goba extensiones a los archivos afectados. Este ransomware es casi idéntico a numerosas versiones anteriores del malware, que describimos anteriormente, pertenece a los mismos autores y utiliza las mismas direcciones de correo electrónico (support@freshmail.top y datarestorehelp@airmail.cc) y las mismas carteras de Bitcoin. El descifrado completo es casi imposible, sin embargo, sus datos pueden restaurarse parcialmente siguiendo las instrucciones de este artículo. Después de que el virus termina, crea _readme.txt archivo con la nota de rescate en el escritorio y en las carpetas con archivos afectados.

Si sus archivos han sido alterados repentinamente con el .wannasmile extensión (por ejemplo, 1.pdf.wannasmile) y ahora se le muestra un mensaje que exige un rescate en la ventana emergente, entonces es probable que esté lidiando con WannaSmile Ransomware. Aunque no hay suficiente justificación para esto, WannaSmile podría ser una nueva versión de otro ransomware con el mismo nombre de 2017 (por desarrolladores iraníes), que asignó el .WSmile extensión. En general, dicho malware suele estar diseñado para hacer que los datos sean inaccesibles (ejecutando el cifrado) y luego extorsionar a las víctimas para descifrarlos.

Desarrollado por el Djvu familia, Goaq Ransomware es un programa malicioso que ejecuta un cifrado extenso de datos personales. Utiliza algoritmos populares pero fuertes para poner los archivos almacenados bajo un estricto bloqueo. Esto, por lo tanto, evita que los usuarios logren el descifrado manual. Sabiendo que los usuarios no podrán recuperar archivos por sí mismos, los ciberdelincuentes ofrecen descifrar datos usando sus herramientas por una cierta cantidad de dinero. Los detalles que se presentan dentro de una nota de texto llamada _readme.txt, que se crea después de que Goaq asigna nuevas extensiones a los datos. En concreto, añade la .goaq extensión para que los archivos cifrados se vean así 1.pdf.goaq. Tan pronto como se realicen dichos cambios, los usuarios ya no serán elegibles para acceder a sus datos.

Este artículo contiene información sobre Gosw Ransomware versión de STOP Ransomware que agrega .gosw extensiones a archivos cifrados y crea archivos de notas de rescate en el escritorio y en las carpetas con archivos afectados. Desafortunadamente, el algoritmo de cifrado de este ransomware actualmente es irrompible, pero existen pocas posibilidades de restaurar sus archivos, que describimos en este texto. Gosw Ransomware se distribuye activamente en los siguientes países: EE. UU., Canadá, España, México, Turquía, Egipto, Brasil, Chile, Ecuador, Venezuela, Alemania, Polonia, Hungría, Indonesia, Tailandia. Esta variación apareció por primera vez a principios de marzo de 2023 y es casi idéntica a las docenas de variaciones anteriores. El virus ransomware todavía usa el algoritmo de cifrado AES y aún exige un rescate en Bitcoin para el descifrado.