Ransomware

Alice Ransomware es un programa malicioso diseñado para cifrar los datos personales de los usuarios y exigir dinero para su descifrado. Mientras cifra el acceso a los archivos con la ayuda de algoritmos seguros, el cifrador de archivos también asigna el .alice extensión a datos cifrados. Por ejemplo, un archivo como 1.pdf probablemente cambiará a 1.pdf.alice y restablecer su icono original. Muchas infecciones de ransomware asignan su extensión personalizada para distinguir los archivos cifrados y hacer que los usuarios noten el cambio. Las instrucciones sobre cómo devolver los archivos se presentan en el How To Restore Your Files.txt archivo de texto, que se crea después de un cifrado exitoso. Esta nota de texto presenta pautas escritas en ruso, lo que indica que este encriptador apunta principalmente a usuarios de habla rusa. Vale la pena señalar que se ha visto a Alice distribuida en dos variantes con texto de nota de rescate ligeramente diferente.

STOP Ransomware es una plaga de 2017-2023, virus tenaz basado en tecnología de cifrado, Qotr Ransomware es una versión reciente de la misma. El ransomware usa el algoritmo de encriptación AES para codificar archivos importantes y extorsiona un rescate en Bitcoins para descifrarlos. Este malware apunta principalmente a los países occidentales, pero se han detectado miles de infecciones en otras partes del mundo. Qotr Ransomware usa los mismos patrones pero agrega diferentes extensiones para modificar los archivos. La versión que observamos hoy agrega .qotr extensión. El cripto-virus afecta los datos valiosos del usuario: fotos, videos y documentos, toma como rehenes archivos potencialmente críticos. Al mismo tiempo, mantiene intactos los archivos del sistema de Windows. Todas las versiones recientes usaban un archivo de nota de rescate llamado _readme.txt, y esta variación no es una excepción. Todas las muestras pertenecen a los mismos autores, ya que utilizan los mismos datos de contacto: support@freshmail.top y datarestorehelp@airmail.cc.

Qoqa Ransomware (que es parte de una gran familia de STOP / Djvu Ransomware) es un virus desagradable, que cifra archivos en computadoras usando el algoritmo de cifrado AES, los hace no disponibles y exige dinero a cambio del llamado "descifrador". Los archivos procesados ​​por la última versión de STOP Ransomware, en particular, se pueden distinguir por .qoqa extensiones. El análisis mostró que el instalador criptográfico cargado con el "crack" o el adware se instala con un nombre arbitrario en el %LocalAppData%\ carpeta. Cuando se ejecuta, carga cuatro archivos ejecutables allí: 1.exe, 2.exe, 3.exe y updatewin.exe. El primero de ellos se encarga de neutralizar Windows Defender, el segundo es de bloquear el acceso a los sitios de seguridad de la información. Una vez que se lanza el malware, aparece un mensaje falso en la pantalla que dice sobre la instalación de la actualización para Windows. De hecho, en este momento, casi todos los archivos de usuario en la computadora están encriptados. En cada carpeta que contiene documentos cifrados, un archivo de texto (_readme.txt), en el que los atacantes explican el funcionamiento del virus. Ofrecen pagarles un rescate por el descifrado, instándolos a no usar programas de terceros, ya que esto puede conducir a la eliminación de todos los documentos.

Roghe es un virus ransomware que se dirige a los datos personales de las víctimas. Después de que el malware infecta un sistema específico, inicia el cifrado de archivos potencialmente importantes, haciéndolos inaccesibles hasta que se recupera una clave de descifrado. Durante el proceso de cifrado, Roghe Ransomware asigna el .enc extensión a los archivos infectados. Por ejemplo, un archivo como 1.pdf se volverá a 1.pdf.enc y así sucesivamente con otros archivos afectados. Una vez que todos los archivos se cifran, el virus cambia los fondos de pantalla del escritorio y fuerza la apertura de una ventana emergente que presenta pautas de descifrado. El texto que aparece en los fondos de pantalla recién asignados les permite a los usuarios saber que han sido infectados y los alienta a seguir las instrucciones de la ventana emergente abierta. Además, también cuenta con un código QR que conduce a más información sobre el malware. La ventana "Roghe Decryptor" dice que las víctimas tienen 15 minutos para recuperar la clave y pegarla para desbloquear el acceso a los archivos; de lo contrario, los archivos cifrados se eliminarán para siempre. También dice que dentro de 20 minutos el sistema operativo será inaccesible, básicamente quedando bloqueado.

Nueva ola de STOP Ransomware la infección continúa con Qowd Ransomware, que agrega .qowd extensiones. STOP Ransomware se detectó por primera vez en 2018 y desde entonces se ha convertido en uno de los tipos de ransomware más frecuentes. Esas extensiones ".qowd" se agregaron a los archivos cifrados a fines de febrero de 2023. Este virus engañoso utiliza el algoritmo de cifrado AES para codificar la información importante de los usuarios. Como regla general, Qowd Ransomware ataca fotos, videos y documentos: datos que la gente valora. Los desarrolladores de malware exigen rescate y prometen proporcionar una clave de descifrado a cambio. El descifrado completo de los datos perdidos es posible en una minoría de casos, si se usó una clave de cifrado sin conexión; de lo contrario, use las instrucciones en la página para recuperar archivos cifrados. El ransomware también crea una nota de rescate (_readme.txt) que informa a la víctima sobre el ataque y exige el pago en Bitcoin u otras criptomonedas a cambio de la clave de descifrado.

Iotr Ransomware (aveces llamado STOP Ransomware or DjVu Ransomware) es un virus de encriptación muy extendido que apareció por primera vez en diciembre de 2017. Desde entonces, se han producido muchos cambios técnicos y de diseño, y han cambiado algunas generaciones de malware. El ransomware utiliza el algoritmo de cifrado AES-256 (modo CFB) para codificar los archivos del usuario y, después de esta última versión (aparecida a fines de febrero de 2023), agrega .iotr extensiones. Después del cifrado, el virus crea un archivo de texto _readme.txt, que se denomina "nota de rescate", donde los piratas informáticos revelan el monto del rescate, la información de contacto y las instrucciones para pagarlo. STOP Ransomware con extensiones de archivo .iotr use los siguientes correos electrónicos: support@freshmail.top y datarestorehelp@airmail.cc, al igual que decenas de sus predecesores.

Kangaroo es una infección de ransomware lanzada por desarrolladores detrás de cifrados de archivos anteriores, como Apocalypse, Fabiansomware y Esmeralda. Aunque este cifrador de archivos estuvo circulando activamente en 2021, es posible que algunos usuarios terminen penetrados por él en estos días. El propósito del malware dentro de esta categoría es cifrar datos potencialmente importantes y extorsionar a las víctimas para obtener dinero para descifrarlos. La característica que hace que Kangaroo se destaque entre otras infecciones comunes de ransomware es que configura valores de registro para mostrar un mensaje de rescate antes de ingresar a la pantalla de inicio de sesión de Windows. Inmediatamente después de iniciar sesión en el sistema, también muestra una pantalla falsa con el mismo mensaje de rescate pero esta vez con un campo dedicado para insertar una contraseña para desbloquearlo. Durante el cifrado, Kangaroo también asigna el .crypted_file extensión y crea mensajes de rescate idénticos en forma de notas de texto. Dichas notas de texto se crean además de cada archivo cifrado y se nombran según el nombre del archivo posterior al cifrado (como aquí 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (aka STOP Ransomware or Djvu Ransomware) es un virus extremadamente peligroso que encripta archivos usando el algoritmo de encriptación AES-256 y agrega .ioqa extensiones a los archivos afectados. La infección involucra principalmente archivos importantes y valiosos, como fotos, documentos, bases de datos, correos electrónicos, videos, etc. Ioqa Ransomware no toca los archivos del sistema para permitir que Windows funcione, por lo que los usuarios podrán pagar el rescate. Si el servidor de malware no está disponible (la computadora no está conectada a Internet, el servidor de los piratas informáticos remotos no funciona), entonces la herramienta de encriptación usa la clave y el identificador que está codificado y realiza la encriptación fuera de línea. En este caso, será posible descifrar los archivos sin pagar el rescate. Ioqa Ransomware crea _readme.txt archivo, que contiene el mensaje de rescate y los detalles de contacto, en el escritorio y en las carpetas con archivos cifrados. Se puede contactar a los desarrolladores por correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc.