Ransomware

Rs-jon es una infección de ransomware que cifra los datos almacenados en el sistema y exige que las víctimas paguen 50 $ por su descifrado. Mientras restringe el acceso a los archivos, asigna el .rsjon extensión. Por ejemplo, un archivo previamente llamado 1.pdf cambiará a 1.pdf.rsjon y restablecer su icono original. Después de un cifrado de archivos exitoso, el virus cambia los fondos de pantalla del escritorio e indica a las víctimas que sigan las instrucciones dentro del READ_ME_PLZ.txt nota.

Lumino_Ransom es una infección de ransomware diseñada para cifrar el acceso a los datos. Durante el cifrado, agrega el .lumino_locked extensión a todos los datos bloqueados. Por ejemplo, un archivo previamente llamado 1.pdf cambiará a 1.pdf.lumino_locked y dejar de ser accesible. Además, la variante investigada de Lumino_Ransom Ransomware también creó cuatrocientos archivos completamente vacíos en el escritorio (nombrados de Lumine1 a Lumine400 en orden secuencial). Inmediatamente después de un cifrado exitoso, el ransomware mostraba una nota sin título con instrucciones que aparecían gradualmente (tanto en inglés como en francés).

Basado en otro ransomware llamado Jigsaw, Roblox Ransomware es un programa malicioso que funciona como un cifrador de archivos. En otras palabras, ejecuta el cifrado de datos almacenados en el sistema y alienta a las víctimas a realizar algunas acciones. Tenga en cuenta que este virus no tiene nada que ver con el videojuego en línea oficial de Roblox, a pesar de tener referencias a él. Mientras se lleva a cabo el cifrado, el cifrador de archivos asigna el .Encrypted_Roblox@mail.com extensión, lo que hace que los archivos ya no sean accesibles. También se detectó otra variante de ransomware agregando el .fun_VB extensión en su lugar. Por ejemplo, un archivo previamente llamado 1.pdf cambiará a 1.pdf.Encrypted_Roblox@mail.com or 1.pdf.fun_VB y restablecer su icono original. Después de restringir con éxito el acceso a los datos, Roblox Ransomware muestra una ventana emergente ejecutable (Jigsaw.exe) con instrucciones de descifrado.

CMLOCKER es una infección de ransomware que cifra los datos almacenados en el sistema con algoritmos criptográficos RSA y agrega el nuevo .CMLOCKER extensión. Por ejemplo, un archivo previamente llamado 1.pdf cambiará a 1.pdf.CMLOCKER y restablecer su icono original. Después de que todos los archivos terminan con acceso restringido, el virus crea una nota de texto llamada HELP_DECRYPT_YOUR_FILES.txt para chantajear a las víctimas para que paguen dinero por el descifrado de datos.

HARDBIT es un virus ransomware que se dirige a los usuarios de Windows para cifrar los datos almacenados en el sistema y chantajear a las víctimas para que paguen una tarifa por el descifrado y la no divulgación de los datos exfiltrados. Mientras hace que los archivos sean inaccesibles, el cifrador de archivos asigna algunos cambios visuales para resaltar los datos bloqueados. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a algo como 1.pdf.[id-GSD557NO60].[boos@keemail.me].hardbit al final del cifrado. Esta cadena de símbolos recién asignada consta de la identificación de la víctima, la dirección de correo electrónico de los ciberdelincuentes y .hardbit extensión. Inmediatamente después de que el proceso de cifrado llega a su fin, HARDBIT cambia los fondos de pantalla del escritorio y suelta dos archivos que explican las instrucciones de descifrado: Help_me_for_Decrypt.hta y How To Restore Your Files.txt.

FBI Ransomware es un cifrador de archivos que restringe el acceso a los datos y chantajea a las víctimas para que paguen $250 por la recuperación. Mientras ejecuta el cifrado, el virus cambia el nombre de todos los archivos afectados agregando el .fbi extensión. Por ejemplo, un archivo como 1.pdf será renombrado a 1.pdf.fbi y restablecer su icono original como resultado de este cambio. Tras esto, el programa malicioso crea tres notas totalmente vacías (readme.txt, LOCKEDBYFBI.htay decryptfiles.html), que no contienen ninguna información. El mensaje real se muestra en la ventana intratable de pantalla completa, que se abre automáticamente una vez que finaliza el cifrado.

JiangLocker es una infección de ransomware reciente. Al igual que otros programas maliciosos de este tipo, está diseñado para restringir el acceso a datos potencialmente importantes mediante la ejecución de un cifrado seguro. Durante este proceso, el virus asigna todos los datos bloqueados con el .jiang extensión. Para ilustrar, un archivo previamente llamado 1.pdf cambiará a 1.pdf.jiang y restablecer su icono original. Después de esto, JiangLocker cambia los fondos de escritorio, muestra una ventana emergente y crea una nota de texto llamada read.ini. La nota de texto duplica la información proporcionada dentro de la ventana emergente.

Cyberone es una infección de ransomware bastante reciente que ejecuta el cifrado de datos y pide a las víctimas que paguen 1 Bitcoin por su descifrado. Mientras bloquea el acceso a los datos almacenados en el sistema, el virus asigna su propia .cyberone extensión, haciendo que todos los íconos de archivos queden en blanco. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.cyberone y dejar de ser accesible. Tenga en cuenta que la mayoría de las versiones de Cyberone que hemos observado se puede descifrar gratis con la ayuda de una herramienta de descifrado lanzada por Avast. Puedes encontrar más información al respecto en el siguiente artículo. Después de completar el cifrado, la última pieza de la última en comenzar a chantajear a las víctimas es la creación de ___RECOVER__FILES__.cyberone.txt y la visualización de una ventana emergente que contiene pautas de descifrado escritas por ciberdelincuentes.