Ransomware

SecureAgent es un virus ransomware que cifra los datos almacenados en el sistema y chantajea a las víctimas para que paguen dinero por su descifrado. Además de cifrar el acceso a los datos, el ransomware también asigna la .secured extensión para resaltar los archivos bloqueados. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.secured y restablecer su icono también. Una vez que se realiza el cifrado, el virus cambia los fondos de pantalla del escritorio y muestra una ventana emergente que contiene pautas de descifrado. En general, la ventana presenta un temporizador de fecha límite para transferir $120 (en Bitcoin) a la dirección criptográfica de los ciberdelincuentes. Después de que expire el tiempo dado, la clave de descifrado para desbloquear los datos supuestamente se eliminará, lo que hará que los archivos sean permanentemente inaccesibles. Los desarrolladores detrás de SecureAgent no proporcionan ninguna información de contacto, lo que no deja claro cómo enviarán una clave de descifrado después del pago.

Poqw Ransomware (también conocido como STOP Ransomware) es un virus cínico que destruye el suelo y deja a los usuarios perdidos porque afecta el tipo de información más íntima: fotos personales, videos, correos electrónicos, así como documentos, archivos y otros datos valiosos. El ransomware es un tipo de amenaza que no solo encripta esos archivos, sino que exige una compra total. STOP Ransomware es oficialmente el virus más extendido y peligroso entre el tipo de malware de cifrado de archivos. Ha habido más de 500 versiones de él y la última golpeó con .poqw extensiones. Dichos sufijos son agregados por Poqw Ransomware a los archivos que codifica con su poderoso algoritmo de cifrado AES-256. En el 99 % de los casos, sus algoritmos son irrompibles; sin embargo, con las instrucciones y las utilidades que se tratan en este artículo, obtienes este 1 % de posibilidades de recuperación. En primer lugar, mire la nota de rescate, que Poqw Ransomware copia en el escritorio y en las carpetas afectadas.

Ser parte de la Djvu y STOP familia de virus, Zouu Ransomware es un virus de cifrado de archivos que circula por la web desde mediados de enero de 2023. De hecho, los desarrolladores distribuyen una gran cantidad de versiones que varían entre sí por extensiones, correo electrónico de los ciberdelincuentes y otros detalles. Hay más de 600 extensiones que STOP Ransomware ha utilizado para atacar los datos del usuario. En nuestro caso, STOP Ransomware agrega .zouu extensión a los archivos para que se cifren. Por ejemplo, algo como 1.mp4 será retitulado a 1.mp4.zouu y restablezca su icono predeterminado después de la infección. Secuencialmente, el programa crea una nota llamada _readme.txt que contiene información sobre el rescate. Por lo general, el contenido generado se ve muy similar en todos los tipos de ransomware.

Zoqw Ransomware, ser parte de STOP Ransomware es un virus crítico que pone en peligro los archivos personales del usuario. Pertenece a la familia de malware de cifrado de archivos, que utiliza el algoritmo AES (Salsa20) y la clave inquebrantable. Este virus, a veces, se llama Djvu Ransomware, después de la palabra utilizada como extensión en las primeras versiones (.djvu). La variante de la amenaza, que describimos hoy, modifica archivos con .zoqw La extensión apareció en la primera quincena de enero de 2023 y actúa exactamente igual en comparación con docenas de versiones anteriores. Los archivos se cifran con una clave segura y hay muy pocas posibilidades de descifrarlos por completo, especialmente si se utilizó una clave en línea. Sin embargo, ciertos métodos manuales y herramientas automáticas, que se describen en este artículo, pueden ayudarlo a descifrar con éxito algunos datos. En el cuadro de texto a continuación, puede encontrar la "nota de rescate", un pequeño archivo de texto con una breve introducción al virus e instrucciones para pagar el rescate.

Una de las principales amenazas a la seguridad informática en la actualidad es el ransomware. Esos son virus informáticos devastadores, que cifran los archivos de los usuarios utilizando varios algoritmos criptográficos y extorsionan el dinero del rescate por la clave de descifrado. Es especialmente sensible para los usuarios, ya que ataca archivos personales como videos, fotos, música o datos comerciales como formatos de archivo de MS Office, correos electrónicos, bases de datos. Dichos archivos pueden ser cruciales para la operación comercial o extremadamente importantes personalmente como parte de la memoria familiar. Los malhechores pueden exigir de varios cientos a varios miles de dólares como rescate. STOP Ransomware es oficialmente la amenaza de ransomware más extendida y, por lo tanto, más peligrosa. Ha habido más de 650 versiones de este virus en 5 años. Cada variación infecta miles de computadoras y hay millones de víctimas de este desagradable malware. En este artículo, explicaremos los métodos típicos para combatir Bpto Ransomware y descifrar los archivos afectados. En el enfoque de hoy, las versiones de STOP (Djvu), que agregan .bpto extensiones. Las muestras recientes usan un patrón muy similar para infiltrarse en las PC y cifrar archivos. Después del cifrado, el ransomware crea un archivo (nota de rescate), llamado _readme.txt.

Theva es el nombre de un virus ransomware que cifra los datos almacenados en el sistema y exige a las víctimas que paguen dinero en Bitcoin por su descifrado. Durante el cifrado, los archivos específicos terminan alterados visualmente, por ejemplo, 1.pdf cambiará a 1.pdf.[sql772@aol.com].theva y así sucesivamente con otros archivos. Tras el bloqueo exitoso de los datos, Theva Ransomware representa sus instrucciones de descifrado en un documento de texto llamado #_README_#.inf. También cambia los fondos de escritorio de las víctimas. Para recuperar los datos, se insta a las víctimas a ponerse en contacto con los ciberdelincuentes a través de la dirección de correo electrónico proporcionada (sql772@aol.com) y pagar el rescate en criptomoneda Bitcoin. Se dice que el precio del descifrado depende de la rapidez con que las víctimas establezcan contacto con los estafadores. Luego del pago exitoso, los actores de amenazas prometen enviar la herramienta de descifrado necesaria que desbloqueará todos los datos bloqueados.

Eternity es un virus ransomware que fue descubierto por Cyble investigadores Este software malicioso pertenece a la familia de malware Eternity y está diseñado para extorsionar a las víctimas mediante el cifrado de datos potencialmente valiosos (con algoritmos criptográficos seguros AES y RSA). Dasha es otra variante popular de ransomware de esta familia. Hay dos versiones conocidas de Eternity: una no cambia los archivos visualmente y la otra asigna la .ecrp extensión a los nombres de archivo y altera los iconos originales. Por ejemplo, 1.pdf puede permanecer igual o volverse 1.pdf.ecrp después del cifrado dependiendo de qué versión de ransomware atacó el sistema. Después de completar con éxito el cifrado, Eternity muestra una ventana emergente que contiene instrucciones de descifrado. Debido a que Eternity Ransomware es un virus Malware como servicio (MaaS) público, que muchos actores de amenazas pueden comprar, el contenido de las instrucciones (datos de contacto, tamaño del rescate, cuentas regresivas, etc.) también puede variar ligeramente. A continuación se muestran ejemplos de textos de rescate de dos variantes de ransomware.

Black Hunt es una infección maliciosa clasificada como ransomware. Tras la infiltración, comienza a cifrar los datos y luego chantajea a las víctimas para que paguen por el descifrado (en #BlackHunt_ReadMe.hta y #BlackHunt_ReadMe.txt notas de rescate). Mientras ejecuta el cifrado, el virus también asigna la identificación de la víctima, la dirección de correo electrónico del ciberdelincuente y .black extensión a archivos influenciados. Para ilustrar, un archivo originalmente llamado 1.pdf cambiará a algo como 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] y adquiere también el nuevo ícono de Black Hunt. Los fondos de escritorio también se alteran. Dentro de las notas de rescate, los ciberdelincuentes indican que las víctimas tienen 14 días para comunicarse con ellos por correo electrónico y comprar una clave única para el descifrado. A menos que se cumpla la fecha límite, los actores de amenazas dicen que comenzarán a vender o filtrar los datos recopilados a varios terceros. Las víctimas pueden revisar su "situación de datos" a través del enlace TOR provisto.