Ransomware

Si ya no se puede acceder a sus archivos y ahora aparecen con el nuevo .MEOW extensión (entonces .PUTIN, .KREMLIN y .RUSIA extensiones), lo más probable es que esté infectado con Meow Ransomware (aka MeowCorp2022 Ransomware y ContiStolen Ransomware). Este cifrador de archivos bloquea el acceso a prácticamente todos los tipos de datos almacenados en el sistema utilizando el algoritmo ChaCha20 y exige a las víctimas que establezcan contacto con sus desarrolladores (presumiblemente para pagar el descifrado). Además, también se determinó que este ransomware funciona con código robado de otro cifrador de archivos popular llamado Conti-2 Ransomware. La información sobre cómo contactar a los estafadores se puede encontrar dentro de una nota de texto llamada readme.txt, que el virus coloca en cada carpeta con archivos cifrados.

Loplup es un virus de cifrado de archivos que se determinó que formaba parte del ZEPPELIN familia de ransomware. Si bien restringe el acceso a los datos almacenados en el sistema, cambia el nombre de los archivos atacados agregando el nombre personalizado .loplup.[victim's_ID] extensión. Esto significa un archivo previamente llamado 1.pdf cambiará a algo como 1.pdf.loplup.312-A1A-FD7. Tenga en cuenta que la identificación de la víctima es variable, por lo que puede ser diferente en su caso. Después del cifrado exitoso de los datos, Loplup crea un archivo de texto (!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT) que contiene pautas de descifrado.

FirstKill es una infección de ransomware diseñada para cifrar los datos de los usuarios y chantajear a las víctimas para que paguen un rescate financiero por su recuperación. Utiliza algoritmos de grado militar AES y RSA para ejecutar un cifrado sólido y evitar que las víctimas vuelvan a acceder a sus archivos. Durante este proceso, FirstKill también cambia el nombre de todos los archivos de destino con el .FirstKill extensión y restablece sus iconos originales en blanco. Por ejemplo, un archivo previamente intacto como 1.pdf cambiará a 1.pdf.FirstKill y dejar de ser accesible. Después de esto, el virus crea una nota de texto llamada CO_SIĘ_STAŁO.html que contiene instrucciones para descifrar los datos.

ChinaHelper es un virus ransomware diseñado para cifrar datos personales y chantajear a las víctimas para que paguen el rescate. Mientras restringe el acceso a los datos con la ayuda de los algoritmos AES-256 y RSA-2048, el virus asigna el .cnh extensión para que un archivo como 1.pdf se convierte en 1.pdf.cnh, por ejemplo. Lo siguiente que hace ChinaHelper es crear una nota de texto llamada README.txt. También hay otra variante detectada en una distribución posterior, que asignó .cnhelp or .charm extensión a los archivos y creó la HOW_TO_RETURN_FILES.txt archivo en su lugar.

Bom es el nombre de una infección de ransomware. El malware dentro de esta categoría cifra los datos almacenados en el sistema y exige a las víctimas que paguen dinero por su devolución. Esta variante de ransomware también es un subproducto del familia VoidCrypt. Durante el cifrado, el virus cambia el nombre de todos los archivos seleccionados de acuerdo con este ejemplo: 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. Sus archivos renombrados pueden variar levemente (p. ej., diferentes cadenas de caracteres), pero la base seguirá siendo la misma. Después de restringir con éxito el acceso a los datos, el ransomware crea una nota de texto llamada Scratch - para proporcionar pautas de descifrado.

DASHA Ransomware es una nueva variante de Eternity Ransomware. Este malware está diseñado para cifrar los datos almacenados en el sistema y exigir dinero para su descifrado. Mientras restringe el acceso a los archivos (por ejemplo, fotos, videos, documentos, bases de datos, etc.), el virus altera la apariencia del archivo con el .ecrp extensión. Por ejemplo, un archivo previamente llamado 1.pdf por lo tanto cambiará a 1.pdf.ecrp y dejar de ser accesible. Una vez que este proceso llega a su fin y finalmente se cambia el nombre de todos los archivos seleccionados, DASHA reemplaza los fondos de pantalla del escritorio y muestra una ventana emergente con instrucciones de rescate.

Loki Locker es el nombre de un virus ransomware diseñado para extorsionar a las víctimas ejecutando un fuerte cifrado de datos. Utiliza una combinación de algoritmos AES-256 y RSA-2048 y también altera los nombres de los datos cifrados de acuerdo con esta plantilla: [][]original_file.Loki. Por ejemplo, un archivo previamente llamado 1.pdf cambiará a [DecNow@TutaMail.Com][C279F237]1.pdf.Loki y dejar de ser accesible. Vale la pena señalar que también hay algunas versiones más nuevas de Loki Locker, que cambian el nombre de los datos con .Rainman, .Adair, .Boresh, .PayForKeyo .Spyro extensiones Tras el bloqueo exitoso de archivos, el virus crea dos archivos (Restore-My-Files.txt y info.hta) con instrucciones similares que exigen rescate. Además, Loki Locker también reemplaza los fondos de escritorio para mostrar breves pasos sobre lo que se debe hacer.

Siendo una nueva variante de PGPCoder Ransomware, LOL! también está diseñado para cifrar datos almacenados en el sistema con la ayuda de algoritmos asimétricos RSA y AES. Dichos algoritmos son a menudo fuertes, lo que hace que el descifrado manual sea casi imposible, sin embargo, esto aún debe discutirse en detalle más adelante. Durante el cifrado, el virus también agrega su .LOL! extensión a cada archivo afectado. Por ejemplo, si fuera 1.pdf atacado por el encriptador, cambiaría a 1.pdf.LOL! y dejar de ser utilizable. Tan pronto como todos los archivos objetivo terminan con acceso restringido, el virus elimina el get data.txt archivo a cada carpeta que contenga datos cifrados (incluido el escritorio). Este archivo está destinado a explicar lo que sucedió y, lo que es más importante, instruir a las víctimas a través del proceso de recuperación.