Ransomware

World2022decoding es una infección de ransomware reciente que se detectó cifrando datos almacenados en dispositivos y chantajeando a las víctimas para que pagaran dinero por ello. Durante el cifrado, todos los archivos afectados se adjuntan con la identificación personal de la víctima y el .world2022decoding extensión también. Como resultado, adquiere un nuevo aspecto similar a este: de personas previamente no infectadas. 1.png a ahora restringido 1.png.[9222911A].world2022decoding. Esto es solo un ejemplo y le puede pasar a cualquier dato, especialmente documentos y bases de datos. Los ciberdelincuentes también crean una nota de texto llamada WE CAN RECOVER YOUR DATA.MHT que implica instrucciones sobre cómo devolver los archivos.

Arai es un programa malicioso que se dirige a usuarios corporativos para encriptar datos comerciales y exigir a las víctimas que paguen dinero por su devolución. Mientras restringe el acceso a los datos, el virus altera los archivos con el .araicrypt extensión, lo que lleva a iconos en blanco también. Por ejemplo, un archivo como 1.pdf cambiaría a 1.pdf.araicrypt y perder su icono original. Después de esto, los datos se vuelven inaccesibles y ya no se pueden utilizar. El siguiente paso que hace Arai es crear una nota de texto llamada READ_TO_RESTORE_YOUR_FILES.txt. Esta nota brinda aclaraciones sobre lo que sucedió y cómo las víctimas pueden recuperarse. En definitiva, los ciberdelincuentes informan que todos los datos importantes (bases de datos, datos de clientes, etc.) han sido copiados y borradas las copias de seguridad locales. También se dice que, en caso de incumplimiento de las instrucciones proporcionadas, las víctimas perderán la oportunidad de recuperar los datos y también estarán sujetas a sufrimiento tanto financiero como de reputación, debido a la posible publicación de datos que puede producirse posteriormente. De lo contrario, las víctimas deben comunicarse con los estafadores utilizando una de las direcciones de correo electrónico proporcionadas y pagar por el descifrado (supuestamente costoso y en criptomoneda). En tal caso, los extorsionadores prometen borrar los datos recopilados y, por lo tanto, no publicarlos.

Kriptor es el nombre del software malicioso categorizado como ransomware. Su objetivo principal radica en el cifrado de archivos personales y la extracción de dinero de las víctimas. El virus comienza restringiendo el acceso a datos valiosos (fotos, videos, documentos, bases de datos, etc.). También cambia todos los nombres de archivo afectados con el .Kriptor extensión para resaltar el cifrado. Por ejemplo, un archivo previamente titulado como 1.pdf cambiará a 1.pdf.Kriptor y restablecer su icono también. Una vez finalizada esta parte, Kriptor crea una nota de texto (read_it.txt) diseñado para explicar las instrucciones de descifrado. Los fondos de escritorio también se reemplazan. Se dice que las víctimas tienen la oportunidad de contactar a los ciberdelincuentes utilizando una de las siguientes direcciones de correo electrónico: leljicok@gmail.com o kkizuko@yandex.com y pagan por el descifrado en Bitcoins. El precio exacto permanece en secreto y se revelará cuando se contacte con éxito a los estafadores. Los desarrolladores de ransomware también ofrecen probar el descifrado gratuito antes de pagar la tarifa de descifrado: los usuarios pueden enviar hasta 3 archivos cifrados y obtener acceso total a ellos a cambio. De esta forma, los ciberdelincuentes intentan crear una burbuja de confianza adicional, lo que aumenta la probabilidad de que las víctimas paguen por el descifrado.

U2K es un virus ransomware diseñado para hacer que los archivos sean inaccesibles y obtener un pago de recuperación de las víctimas. Durante el cifrado, asigna el .U2K extensión y restablece los iconos de todos los archivos afectados. Para ilustrar, un archivo inicialmente titulado 1.pdf cambiará a 1.pdf.U2K y perder su icono original también. Después de hacer las cosas con el cifrado, el virus desencadena la creación del ReadMe.txt nota de texto. Esta nota presenta instrucciones sobre lo que deben hacer las víctimas para devolver los datos bloqueados. Como se indica dentro del archivo, la única forma factible de descifrar todos los datos es comprar un descifrador único. Para recuperarlo, se guía a las víctimas para que descarguen Tor Browser, naveguen al enlace del sitio web adjunto y abran un ticket de soporte con los ciberdelincuentes. Después de comenzar las negociaciones, es probable que los extorsionadores anuncien el precio e instruyan a las víctimas sobre más detalles para el pago. Desafortunadamente, como muestra la experiencia, gran parte del daño (principalmente archivos cifrados) es difícil de recuperar sin la ayuda de los ciberdelincuentes.

Lilith es una infección de ransomware que cifra los datos almacenados en el sistema y exige el pago por el descifrado de archivos. Mientras hace que los archivos sean inaccesibles, el virus también agrega el nuevo .lilith extensión a cada muestra infectada. Por ejemplo, un archivo llamado 1.pdf cambiará a 1.pdf.lilith y restablecer su icono original también. Después de esto, los ciberdelincuentes dan instrucciones sobre cómo adquirir el descifrado en una nota de texto llamada Restore_Your_Files.txt. Se dice que las víctimas tienen tres días completos para contactar a los desarrolladores. Esto debe hacerse usando el mensajero Tox en Tor Browser. Si las víctimas se retrasan en el cumplimiento de estas demandas, los ciberdelincuentes amenazan con comenzar a filtrar los datos recopilados, supuestamente a los recursos de la web oscura. Aunque el precio del descifrado se calcula de forma individual según la cantidad de datos valiosos que se hayan cifrado, aún puede ser bastante alto si se tiene en cuenta la tendencia del ransomware a atacar a las organizaciones empresariales.

JENNY es el nombre de un nuevo bloqueador de archivos descubierto por MalwareHunterTeam. El malware de este tipo normalmente está diseñado para restringir el acceso a los datos y exigir a las víctimas que paguen un rescate en criptografía. Después de infiltrarse con éxito en el sistema, el virus encripta piezas importantes de datos y también asigna la .JENNY extensión. Esto significa un archivo como 1.pdf cambiará a 1.pdf.JENNY y restablecer su icono original a blanco. Una vez finalizada esta parte, el ransomware reemplaza los fondos de pantalla del escritorio y presenta una ventana emergente en la pantalla. A diferencia de otras infecciones de ransomware, los desarrolladores de JENNY no proporcionan instrucciones de descifrado. Las víctimas se quedan confundidas sin absolutamente ninguna información de contacto para usar para llegar a los ciberdelincuentes. El motivo podría deberse a que este ransomware aún está en desarrollo y es probable que se esté probando. Esto significa que el descifrado con la ayuda de los desarrolladores es imposible y que una versión completa de JENNY puede lanzarse algún día en el futuro.

BlueSky Ransomware es un cifrador de archivos devastador. Restringe el acceso a los datos y solicita a las víctimas que paguen una tarifa por su devolución. Mientras ejecuta el cifrado de datos almacenados en el sistema, el virus también asigna la .bluesky extensión a cada muestra afectada. Por ejemplo, un archivo llamado 1.pdf cambiará a 1.pdf.bluesky y restablecer su icono original. Desde entonces, los archivos ya no serán accesibles. Para hacer que las víctimas paguen el rescate, los ciberdelincuentes diseñan instrucciones de descifrado idénticas en ambos # DECRYPT FILES BLUESKY #.html y # DECRYPT FILES BLUESKY #.txt notas de texto, que se crean después del cifrado. En el interior, los extorsionistas dicen que el único caso en que los archivos se pueden recuperar es si las víctimas compran una clave de descifrado y un software especiales. También dicen que cualquier intento de terceros de descifrar archivos sin la ayuda de los ciberdelincuentes puede provocar daños permanentes en los datos. A continuación, se indica a las víctimas que descarguen Tor Browser y visiten el enlace web proporcionado. Después de eso, las víctimas podrán ver el precio del descifrado e información adicional, por ejemplo, cómo crear una billetera y comprar criptomonedas también. El precio de descifrado se establece en 0.1 BTC ≈ $2,075 y se dice que se duplicará en 7 días después del ataque de ransomware. Los ciberdelincuentes también ofrecen probar el descifrado, ya que las víctimas pueden enviar un archivo bloqueado y descifrarlo de forma gratuita. Los desarrolladores de ransomware tienden a hacer esto para validar su confiabilidad y aumentar la confianza de las víctimas para pagar el rescate.

FARGO es un cifrador de archivos típico que restringe el acceso a los datos y los mantiene bloqueados hasta que se paga el rescate. También se determinó que era una nueva variante del familia de TargetCompany. Durante el cifrado, el virus resalta los archivos afectados añadiendo un nuevo .FARGO extensión. Por ejemplo, un archivo originalmente titulado 1.pdf cambiará a 1.pdf y restablezca su icono en blanco. Después de completar con éxito el cifrado de archivos, el ransomware crea un archivo de texto llamado FILE RECOVERY.txt que cuenta con instrucciones de descifrado. Los ciberdelincuentes dicen que el único camino para recuperar datos es comprar una herramienta de descifrado especial. Para esto, se les indica a las víctimas que se comuniquen con los extorsionadores a través de su dirección de correo electrónico (mallox@stealthypost.net). También se indica que las víctimas deben incluir su identificación generada personalmente en el mensaje. Para demostrar que su software de descifrado realmente funciona, los actores de amenazas ofrecen descifrado gratuito de algunos archivos no valiosos. Después de enviar estos archivos, los extorsionadores prometen asignar el precio del descifrado y dar instrucciones de pago. Desafortunadamente, debemos informarle que el descifrado manual sin la ayuda de los desarrolladores de ransomware es casi imposible.