Ransomware

Si fue atacado por el virus, sus archivos están encriptados, no son accesibles y .hhmm extensiones, eso significa que su PC está infectada con Hhmm Ransomware (aveces llamado STOP Ransomware or Djvu Ransomware, lleva el nombre de .djvu extensión, que se agregó inicialmente a los archivos cifrados). Este virus de cifrado estuvo muy activo desde 2017 (.hhmm apareció a mediados de febrero de 2023) y ha causado un gran daño económico a miles de usuarios. Desafortunadamente, es muy difícil rastrear a los malhechores, porque usan servidores TOR anónimos y criptomonedas. Sin embargo, con las instrucciones proporcionadas en este artículo, podrá eliminar Hhmm Ransomware y devolver sus archivos. Hhmm ransomware crea _readme.txt archivo, que se llama "nota de rescate" y contiene instrucciones de pago y datos de contacto. Virus lo coloca en el escritorio y en las carpetas con archivos cifrados. Se puede contactar a los desarrolladores por correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc.

Vvoo Ransomware es un nombre condicional, dado por expertos en seguridad, para la versión reciente de STOP/Djvu Ransomware, que agrega .vvoo extensiones a los archivos. STOP Ransomware es una infección de ransomware de larga duración y muy extendida, que ha estado activa desde 2017. Como utiliza el cifrado de criptografía RSA-1024 y la clave en línea (en la mayoría de los casos), el descifrado directo utilizando descifradores publicados actualmente no es efectivo. Sin embargo, algunos métodos de recuperación de archivos, proporcionados en este artículo, pueden ayudarlo a restaurar algunos de sus archivos o incluso todos los datos. Si sus archivos fueron encriptados con una clave fuera de línea (2-3% de todos los casos), el descifrado al 100% es posible con STOP Djvu Decryptor en EmsiSoft, que aparece en la página siguiente. En general, Vvoo Ransomware crea una nota de rescate _readme.txt, que contiene las condiciones de descifrado, la cantidad del rescate y los datos de contacto.

PYAS está clasificado como ransomware. Este software malicioso está diseñado para cifrar los datos almacenados en el sistema y mantenerlos como rehenes para que los usuarios paguen un rescate. El nombre de este cifrador de archivos proviene del .PYAS extensión, que se asigna a cada archivo afectado durante el cifrado. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.PYAS, y así sucesivamente con otros datos. Después de un cifrado exitoso, el virus elimina el README.txt nota de texto que incluye instrucciones de descifrado. La nota contiene un breve texto que dice que todos los tipos de datos esenciales han sido encriptados y que las víctimas deben comunicarse con los extorsionadores a través de la plataforma Discord (nombre de usuario "mtkiao129 # 2443") para descifrar los archivos. Como regla general, los ciberdelincuentes detrás de las infecciones de ransomware buscan extorsionar a las víctimas; por lo tanto, es menos probable que PYAS sea una excepción. No se recomienda pagar el rescate o proporcionar información confidencial a los atacantes.

Vvmm Ransomware es un virus que ejecuta el cifrado de datos y exige a las víctimas que paguen una tarifa de rescate por su devolución. viene de la STOP/Djvu familia que desarrolla y lanza muchas versiones de ransomware cada mes. De hecho, todos los codificadores de archivos STOP/Djvu comparten características casi idénticas: cambian archivos con extensiones tomadas de sus nombres y crean prácticamente la misma nota que contiene instrucciones de descifrado (_readme.txt). Esta variante de ransomware se llama Vvmm, lo que significa que altera los archivos cifrados con el .vvmm extensión. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.vvmm, 1.png a 1.png.vvmm, y así sucesivamente con otros datos afectados. Una vez que se realiza este proceso y ya no se puede acceder a todos los archivos específicos, las víctimas pueden ver las instrucciones de descifrado presentadas dentro del _readme.txt nota.

Mimic es el nombre de una infección de ransomware que encripta el acceso a los datos, agrega el .QUIETPLACE extensión, y finalmente exige a las víctimas que paguen un rescate por el descifrado. Este virus es una de las variantes entre otros encriptadores de archivos que supuestamente fueron desarrollados por los mismos ciberdelincuentes. Se sabe que otras versiones asignan extensiones como .HONESTBITCOIN, .Fora, .PORTHUB, .KASPERSKY o extensiones que consisten en 5-10 caracteres aleatorios. Durante el cifrado, el malware se dirigirá a todos los tipos de archivos potencialmente importantes y hará que ya no se pueda acceder a ellos mediante la ejecución de un cifrado algorítmico fuerte. Como se mencionó, Mimic Ransomware también agrega su propio .QUIETPLACE extensión, lo que significa un archivo como 1.pdf probablemente cambiará a 1.pdf.QUIETPLACE, etcétera. Después de esto, Mimic mostró dos notas de rescate idénticas: una antes de la pantalla de inicio de sesión y la segunda en un archivo de texto llamado Decrypt_me.txt .

NEVADA es un virus ransomware que encripta datos en los sistemas operativos Windows y Linux e insta a las víctimas a pagar dinero por su descifrado y no divulgación de la información recopilada. A la hora de cifrar el acceso a los datos, el virus también asigna su .NEVADA extensión a los archivos afectados. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.NEVADA restablece su icono y ya no se puede utilizar. Después de esto, el malware crea readme.txt - una nota de texto con pautas de descifrado. Los ciberdelincuentes detrás de NEVADA Ransomware pueden variar, ya que este cifrador de archivos está abierto para que lo compren otros malhechores (Ransomware como modelo de servicio).

Erop es una nueva variante de ransomware derivada de la familia STOP/Djvu. El malware de este tipo está diseñado para cifrar los datos de los usuarios y exigir a las víctimas que paguen dinero por su descifrado. Además de volverse inaccesibles después del cifrado, los archivos objetivo también se modifican visualmente al recibir el nuevo .erop extensión. Para ilustrar, un archivo como 1.pdf cambiará a 1.pdf.erop y dejar de ser accesible. Una vez que el cifrado exitoso llega a su fin, Erop genera una nota de texto llamada _readme.txt que contiene pautas de descifrado. El nombre de esta nota de rescate es bastante genérico y también ha sido utilizado por otras variantes de STOP/Djvu, solo con una ligera variación en la información de contacto de los ciberdelincuentes. Dentro de esta nota, se les dice a las víctimas que es necesario comprar un software de descifrado especializado por $980 (o $490 si se paga dentro de las 72 horas posteriores a la infección). Al establecer comunicación por correo electrónico con los estafadores, las víctimas también pueden adjuntar 1 archivo cifrado que no contiene información valiosa y los ciberdelincuentes lo descifrarán de forma gratuita.

Nigra es el nombre de un cifrador de archivos del que se ha informado recientemente que se considera una variante de Sojusz Ransomware. Los ciberdelincuentes detrás del ataque exitoso cifran el acceso a los datos y luego intentan extorsionar a las víctimas para descifrarlos. Es probable que los archivos cifrados por esta infección se modifiquen de acuerdo con este patrón [victim's ID>].[cybercriminals' e-mail address] o [ID de la víctima>].[nombre de archivo] y el .nigra extensión al final. Esto significa que el archivo afectado puede aparecer así .[9347652d51].[nigra@skiff.com].nigra o bien sabio. Tenga en cuenta que el proceso de agregar una nueva extensión a los nombres de archivo originales es solo una formalidad visual y no cambia el hecho de encriptar archivos de ninguna manera. Después del cifrado completo, el virus dejará un archivo de texto con pautas de descifrado en el escritorio de la víctima. El nombre de la nota de texto de Nigra Ransomware aún no se ha revelado públicamente, sin embargo, es probable que sea algo igual o similar a estos ejemplos. -----README_WARNING-----.txt, #_README-WARNING_#.TXT, README_WARNING_.txt,!!!HOW_TO_DECRYPT!!!.txt, #HOW_TO_DECRYPT#.txt, #HOW_TO_DECRYPT#.txt.