Ransomware

Ser parte de la Djvu y STOP familia de virus, Zouu Ransomware es un virus de cifrado de archivos que circula por la web desde mediados de enero de 2023. De hecho, los desarrolladores distribuyen una gran cantidad de versiones que varían entre sí por extensiones, correo electrónico de los ciberdelincuentes y otros detalles. Hay más de 600 extensiones que STOP Ransomware ha utilizado para atacar los datos del usuario. En nuestro caso, STOP Ransomware agrega .zouu extensión a los archivos para que se cifren. Por ejemplo, algo como 1.mp4 será retitulado a 1.mp4.zouu y restablezca su icono predeterminado después de la infección. Secuencialmente, el programa crea una nota llamada _readme.txt que contiene información sobre el rescate. Por lo general, el contenido generado se ve muy similar en todos los tipos de ransomware.

Zoqw Ransomware, ser parte de STOP Ransomware es un virus crítico que pone en peligro los archivos personales del usuario. Pertenece a la familia de malware de cifrado de archivos, que utiliza el algoritmo AES (Salsa20) y la clave inquebrantable. Este virus, a veces, se llama Djvu Ransomware, después de la palabra utilizada como extensión en las primeras versiones (.djvu). La variante de la amenaza, que describimos hoy, modifica archivos con .zoqw La extensión apareció en la primera quincena de enero de 2023 y actúa exactamente igual en comparación con docenas de versiones anteriores. Los archivos se cifran con una clave segura y hay muy pocas posibilidades de descifrarlos por completo, especialmente si se utilizó una clave en línea. Sin embargo, ciertos métodos manuales y herramientas automáticas, que se describen en este artículo, pueden ayudarlo a descifrar con éxito algunos datos. En el cuadro de texto a continuación, puede encontrar la "nota de rescate", un pequeño archivo de texto con una breve introducción al virus e instrucciones para pagar el rescate.

Una de las principales amenazas a la seguridad informática en la actualidad es el ransomware. Esos son virus informáticos devastadores, que cifran los archivos de los usuarios utilizando varios algoritmos criptográficos y extorsionan el dinero del rescate por la clave de descifrado. Es especialmente sensible para los usuarios, ya que ataca archivos personales como videos, fotos, música o datos comerciales como formatos de archivo de MS Office, correos electrónicos, bases de datos. Dichos archivos pueden ser cruciales para la operación comercial o extremadamente importantes personalmente como parte de la memoria familiar. Los malhechores pueden exigir de varios cientos a varios miles de dólares como rescate. STOP Ransomware es oficialmente la amenaza de ransomware más extendida y, por lo tanto, más peligrosa. Ha habido más de 650 versiones de este virus en 5 años. Cada variación infecta miles de computadoras y hay millones de víctimas de este desagradable malware. En este artículo, explicaremos los métodos típicos para combatir Bpto Ransomware y descifrar los archivos afectados. En el enfoque de hoy, las versiones de STOP (Djvu), que agregan .bpto extensiones. Las muestras recientes usan un patrón muy similar para infiltrarse en las PC y cifrar archivos. Después del cifrado, el ransomware crea un archivo (nota de rescate), llamado _readme.txt.

Theva es el nombre de un virus ransomware que cifra los datos almacenados en el sistema y exige a las víctimas que paguen dinero en Bitcoin por su descifrado. Durante el cifrado, los archivos específicos terminan alterados visualmente, por ejemplo, 1.pdf cambiará a 1.pdf.[sql772@aol.com].theva y así sucesivamente con otros archivos. Tras el bloqueo exitoso de los datos, Theva Ransomware representa sus instrucciones de descifrado en un documento de texto llamado #_README_#.inf. También cambia los fondos de escritorio de las víctimas. Para recuperar los datos, se insta a las víctimas a ponerse en contacto con los ciberdelincuentes a través de la dirección de correo electrónico proporcionada (sql772@aol.com) y pagar el rescate en criptomoneda Bitcoin. Se dice que el precio del descifrado depende de la rapidez con que las víctimas establezcan contacto con los estafadores. Luego del pago exitoso, los actores de amenazas prometen enviar la herramienta de descifrado necesaria que desbloqueará todos los datos bloqueados.

Eternity es un virus ransomware que fue descubierto por Cyble investigadores Este software malicioso pertenece a la familia de malware Eternity y está diseñado para extorsionar a las víctimas mediante el cifrado de datos potencialmente valiosos (con algoritmos criptográficos seguros AES y RSA). Dasha es otra variante popular de ransomware de esta familia. Hay dos versiones conocidas de Eternity: una no cambia los archivos visualmente y la otra asigna la .ecrp extensión a los nombres de archivo y altera los iconos originales. Por ejemplo, 1.pdf puede permanecer igual o volverse 1.pdf.ecrp después del cifrado dependiendo de qué versión de ransomware atacó el sistema. Después de completar con éxito el cifrado, Eternity muestra una ventana emergente que contiene instrucciones de descifrado. Debido a que Eternity Ransomware es un virus Malware como servicio (MaaS) público, que muchos actores de amenazas pueden comprar, el contenido de las instrucciones (datos de contacto, tamaño del rescate, cuentas regresivas, etc.) también puede variar ligeramente. A continuación se muestran ejemplos de textos de rescate de dos variantes de ransomware.

Black Hunt es una infección maliciosa clasificada como ransomware. Tras la infiltración, comienza a cifrar los datos y luego chantajea a las víctimas para que paguen por el descifrado (en #BlackHunt_ReadMe.hta y #BlackHunt_ReadMe.txt notas de rescate). Mientras ejecuta el cifrado, el virus también asigna la identificación de la víctima, la dirección de correo electrónico del ciberdelincuente y .black extensión a archivos influenciados. Para ilustrar, un archivo originalmente llamado 1.pdf cambiará a algo como 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] y adquiere también el nuevo ícono de Black Hunt. Los fondos de escritorio también se alteran. Dentro de las notas de rescate, los ciberdelincuentes indican que las víctimas tienen 14 días para comunicarse con ellos por correo electrónico y comprar una clave única para el descifrado. A menos que se cumpla la fecha límite, los actores de amenazas dicen que comenzarán a vender o filtrar los datos recopilados a varios terceros. Las víctimas pueden revisar su "situación de datos" a través del enlace TOR provisto.

ScareCrow es una infección de ransomware que apareció por primera vez en los radares de malware en 2019. Desde entonces, el ransomware ha sufrido un par de cambios y actualizaciones insignificantes. Por ejemplo, según las versiones de ScareCrow que atacaron el sistema, .scrcrw or .CROW las extensiones se asignarán a los archivos de destino. Las infecciones de ransomware están diseñadas para cifrar datos potencialmente valiosos y mantenerlos bloqueados hasta que las víctimas cumplan con las demandas de los ciberdelincuentes de pagar un rescate. ScareCrow utiliza una combinación de algoritmos criptográficos AES y RSA para encriptar completamente los datos. Después de hacer que los archivos sean inaccesibles, el virus abre automáticamente una ventana emergente con instrucciones de descifrado. Tenga en cuenta que es posible que no sea obligatorio pagar el rescate. Se recomienda a las víctimas que se pongan en contacto con un investigador de ransomware acreditado. Michael Gillespie y descifrar archivos ScareCrow de forma gratuita.

Lucknite (ETH) or LuckniteRansom es un virus ransomware que fue inspeccionado recientemente por investigadores de malware. El propósito de este tipo de malware es cifrar datos potencialmente importantes y mantenerlos como rehenes hasta que las víctimas paguen el rescate. Durante el cifrado, este ransomware también asigna el .lucknite extensión a cada archivo de destino. Por ejemplo, originalmente llamado 1.pdf cambiará a 1.pdf.lucknite y pierde su icono de acceso directo después del cifrado. Después de esto, los ciberdelincuentes presentan instrucciones de descifrado en el README.txt nota. A veces, el contenido del rescate puede variar ligeramente según la versión del ransomware que afectó al sistema.