Ransomware

Onelock es una infección de ransomware desarrollada por la familia de ransomware Medusa. Su propósito es encriptar el acceso a datos potencialmente importantes (utilizando algoritmos de encriptación RSA y AES) y extorsionar a las víctimas para obtener un descifrado completo. Mientras hace que los archivos sean inaccesibles, el virus agrega el nuevo .onelock extensión, lo que haría un archivo como 1.pdf cambiar 1.pdf.onelock y restablecer su icono original. El mismo patrón se aplica a otros archivos que son el objetivo de la infección. Después de completar con éxito, Onelock crea el how_to_back_files.html archivo para incluir instrucciones de descifrado. En general, se dice que los desarrolladores de ransomware son las únicas figuras capaces de descifrar los datos de las víctimas. Para ello, se indica a las víctimas que se pongan en contacto con los ciberdelincuentes mediante un enlace de chat en el navegador Tor (o correo electrónico) y paguen una cantidad específica de rescate.

Alpha865qqz es un nuevo cifrador de archivos que pertenece a la familia de ransomware Maoloa. Mientras se realizaba una investigación sobre este malware, se descubrió que Alpha865qqz imita algunos rasgos de otra infección llamada GlobeImposter. Por ejemplo, durante el cifrado, agrega el .Globeimposter-Alpha865qqz extensión a archivos específicos. Para ilustrar, 1.pdf cambiará a 1.pdf.Globeimposter-Alpha865qqz, 1.png a 1.png.Globeimposter-Alpha865qqz, etcétera. Después de completar el proceso de encriptación, Alpha865qqz crea un archivo ejecutable llamado HOW TO BACK YOUR FILES.exe que enumera las instrucciones de descifrado. Algunas otras versiones de Alpha865qqz crearon el HOW TO BACK YOUR FILES.txt archivo de texto en su lugar, y también cambió los iconos originales de los archivos.

Faust es una nueva variante de ransomware desarrollada por el grupo de malware Phobos. Su propósito es cifrar datos potencialmente importantes y hacer que las víctimas paguen dinero por su descifrado. Junto con el cifrado, el virus también altera la forma en que aparecen los archivos; por ejemplo, un archivo originalmente llamado 1.pdf cambiará a algo como 1.pdf.id[9ECFA84E-3421].[gardex_recofast@zohomail.eu].faust y restablecer su icono original después del cifrado. Esta nueva cadena de caracteres que agrega el ransomware consiste en la identificación única de la víctima, la dirección de correo electrónico de los ciberdelincuentes y el .faust extensión. Después de completar con éxito el cifrado, Faust Ransomware genera una ventana emergente (info.hta) y archivo de texto (info.txt) que contienen pautas de descifrado.

AXLocker es un virus ransomware que cifra datos personales (documentos, fotos, bases de datos, etc.) y exige a las víctimas que paguen dinero por su descifrado. A diferencia de otras infecciones de ransomware que normalmente cambian el nombre de los datos cifrados (agregando nuevas extensiones), AXLocker deja los archivos con su apariencia original. A pesar de esto, las víctimas no podrán acceder a sus datos y el virus mostrará una ventana emergente con demandas relacionadas con el descifrado y el tiempo asignado para cumplirlas.

Dharma es un notorio grupo de malware que ha estado distribuyendo una serie de infecciones de ransomware de alto nivel. Zxcvb es una de las versiones más recientes lanzadas por los ciberdelincuentes. Al igual que sus precursores, el virus encripta el acceso a los archivos almacenados en el sistema y cambia su apariencia visual (agregando la identificación de la víctima, la dirección de correo electrónico paymoney@onionmail.org y el .zxcvb extensión). Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a algo como 1.pdf.id-9ECFA84E.[paymoney@onionmail.org].zxcvb y así sucesivamente con otros datos afectados. Una vez que Zxcvb priva el acceso a los archivos, crea una nota de rescate llamada FILES ENCRYPTED.txt y también muestra una ventana emergente.

D0ggeroficial es un virus ransomware que ejecuta el cifrado de datos utilizando algoritmos AES-256. Al hacerlo, también cambia el nombre de todos los archivos seleccionados (documentos, videos, imágenes, etc.) con el .locked extensión. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.locked y restablecer su icono original. Después de esto, D0ggerofficial muestra una ventana emergente con instrucciones de descifrado. Los ciberdelincuentes dicen que las víctimas deben realizar un pago de 0.25 BTC (aproximadamente 4,200) para recuperar una clave de descifrado especial del servidor remoto de los ciberdelincuentes. Las víctimas también pueden obtener información más detallada contactando a los atacantes a través de su canal de Telegram (@d0ggerofficial).

Eyedocx es una infección de ransomware que cifra el acceso a los datos almacenados en el sistema y presenta instrucciones para que las víctimas paguen por el descifrado. Una vez que se pone en marcha el proceso de cifrado, todos los archivos cambiarán de acuerdo con este ejemplo, cuyo nombre original era 1.pdf cambiará a 1.pdf.encrypted y restablecer su icono. La asignación de extensiones aleatorias es un efecto común de muchas infecciones de ransomware, diseñadas para resaltar los datos bloqueados. los .encrypted extensión es bastante genérica y, por lo tanto, también puede ser utilizada por otras variantes de ransomware. Una vez que Eyedocx termina de ejecutar el cifrado, crea una nota de texto (readme.infomation) con instrucciones que exigen rescate.

RAMP es el nombre de una infección de PC maliciosa clasificada como ransomware. La función principal de dicho malware es cifrar los datos almacenados en el sistema y, muy a menudo, sacar provecho de las víctimas extorsionándolas para recuperar los archivos. Cuando RAMP Ransomware bloquea el acceso a los datos, también asigna el .terror_ramp3 extensión para cambiar archivos visualmente. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará su nombre a 1.pdf.terror_ramp3 y dejar de ser accesible. Lo mismo sucederá con otros tipos de datos específicos. Después de hacer las cosas con el cifrado, el virus cambia los fondos de pantalla del escritorio y crea una nota de texto (ramp3.txt) con instrucciones de recuperación.