Ransomware

Proton es una infección ransomware. El propósito de este virus es ejecutar el cifrado de datos potencialmente críticos y luego exigir dinero para su descifrado completo. Mientras lo hace, Proton también cambia los archivos visualmente: un archivo afectado con adquisición kigatsu@tutanota.com dirección de correo electrónico, identificación de la víctima y .Proton or .kigatsu extensión para archivos cifrados. Por ejemplo, un archivo como 1.pdf se convertirá en algo como 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Después de este cambio, las víctimas ya no podrán acceder a sus archivos, independientemente de las modificaciones que se realicen. Después de esto, el virus deja caer el README.txt nota de texto, que contiene instrucciones de descifrado. Se dice que los datos de la víctima han sido cifrados (utilizando algoritmos AES y ECC) y robados por ciberdelincuentes. La palabra "robado" probablemente sugiere que los datos cifrados se han copiado a los servidores de los ciberdelincuentes y se puede abusar de ellos en cualquier momento a menos que se pague el rescate. Los actores de amenazas alientan a sus víctimas a comunicarse con ellos a través de Telegram o correo electrónico y comprar el servicio de descifrado. Además, las víctimas también pueden enviar un archivo (menos de 1 MB) y descifrarlo de forma gratuita. De esta manera, los ciberdelincuentes demuestran su confiabilidad y su capacidad de recuperar el acceso a los datos bloqueados. Al final del mensaje de rescate, los extorsionadores indican un par de advertencias sobre los riesgos de intentar descifrar archivos sin la ayuda de los desarrolladores de ransomware.

Reload Ransomware es una forma de malware que se dirige a personas y organizaciones cifrando sus archivos y exigiendo un rescate por las claves de descifrado. es parte de Makop Ransomware familia. La nota de rescate normalmente comienza con una declaración de que todos los archivos han sido cifrados y ahora tienen la .reload extensión adjunta a ellos. El ransomware utiliza algoritmos de cifrado robustos para bloquear los archivos, haciéndolos inaccesibles sin la clave de descifrado correspondiente. El tipo específico de cifrado utilizado por Reload Ransomware no se menciona explícitamente en las fuentes proporcionadas, pero el ransomware suele emplear cifrado AES (Estándar de cifrado avanzado) o RSA, que son muy seguros y difíciles de descifrar sin una clave de descifrado única. La nota de rescate creada por Reload Ransomware suele ser un archivo de texto (+README-WARNING+.txt) que se coloca en carpetas que contienen archivos cifrados. Esta nota indica claramente que los archivos han sido cifrados y proporciona instrucciones sobre cómo pagar el rescate para recuperar los archivos. La nota puede incluir detalles como el monto del rescate exigido, generalmente en criptomonedas como Bitcoin, para garantizar el anonimato de la transacción.

CryptNet Ransomware es un tipo de malware que cifra archivos en computadoras infectadas y exige el pago de un rescate por la clave de descifrado. Es un nuevo ransomware como servicio (RaaS) que surgió en abril de 2023 y es conocido por su eficiencia en el cifrado de archivos. El ransomware está escrito en el lenguaje de programación .NET y se ofusca utilizando .NET Reactor para evadir la detección. Al cifrar archivos, CryptNet añade una extensión aleatoria de cinco caracteres a los nombres de archivos originales, haciéndolos fácilmente identificables como comprometidos por este ransomware específico. CryptNet utiliza una combinación de AES de 256 bits en modo CBC y algoritmos de cifrado RSA de 2048 bits para bloquear archivos. Este método de cifrado dual garantiza que los archivos estén cifrados de forma segura y no puedan descifrarse sin las claves únicas que poseen los atacantes. Después del cifrado, CryptNet envía una nota de rescate llamada RESTORE-FILES-[cadena_aleatoria].txt en el escritorio de la víctima. La nota informa a las víctimas sobre el cifrado y proporciona instrucciones sobre cómo pagar el rescate para recuperar los archivos. También incluye una identificación de descifrado única y puede ofrecer una prueba de descifrado gratuita para demostrar la capacidad de los atacantes para descifrar los archivos.

DoNex Ransomware es un tipo de software malicioso que cae dentro de la categoría de ransomware, que está diseñado para cifrar datos en la computadora de una víctima, haciendo que los archivos sean inaccesibles hasta que se pague un rescate. Esta variante particular de ransomware ha sido identificada por investigadores de seguridad de la información como una amenaza que cifra los datos del usuario y exige un pago por la posibilidad de descifrarlos. DoNex agrega una identificación única de la víctima a las extensiones de los archivos cifrados. Por ejemplo, un archivo llamado myphoto.jpg se le cambiaría el nombre a algo como myphoto.jpg.5GlA66BK7 después del cifrado por DoNex. Si bien aún no se conocen detalles específicos sobre el algoritmo de cifrado utilizado por DoNex, el ransomware suele emplear algoritmos criptográficos potentes, ya sean simétricos o asimétricos, para bloquear archivos. DoNex deja una nota de rescate llamada Readme.[victim's_ID].txt en el ordenador de la víctima, que contiene instrucciones sobre cómo contactar con los atacantes, normalmente a través de un canal de comunicación específico como Tox Messenger, y las exigencias de pago.

Nood Ransomware es un software malicioso que cifra archivos en la computadora de una víctima, haciéndolos inaccesibles sin una clave de descifrado. Esta clave suele estar en manos de los atacantes, que exigen un rescate a cambio de su liberación. Comprender la mecánica del ransomware NOOD, sus métodos de infección, los detalles del cifrado que emplea y las posibilidades de descifrado es crucial tanto para la prevención como para la corrección. Una vez que Nood Ransomware infecta una computadora, cifra los archivos utilizando sofisticados algoritmos de cifrado. El ransomware de esta naturaleza suele emplear un cifrado asimétrico fuerte, lo que hace que el descifrado no autorizado sea extremadamente difícil sin la clave única que poseen los atacantes. Los archivos cifrados se adjuntan con el .nood extensión, lo que significa su inaccesibilidad. Al completar el proceso de cifrado, Nood Ransomware genera una nota de rescate (_readme.txt), instruyendo a las víctimas sobre cómo pagar el rescate para potencialmente recuperar sus archivos. La nota generalmente incluye instrucciones de pago, generalmente exigiendo el pago en Bitcoin, y enfatiza la urgencia de realizar el pago para recuperar la clave de descifrado.

Duralock Ransomware es un tipo de software malicioso identificado por los investigadores de seguridad de la información como una amenaza importante. Pertenece a la familia de ransomware MedusaLocker y está diseñado para cifrar datos en computadoras infectadas, haciendo que los archivos sean inaccesibles para los usuarios. Una vez que una computadora está infectada, Duralock cifra los archivos del usuario y agrega una extensión distintiva, .duralock05, a los nombres de archivos. Esto marca los archivos como cifrados y evita que los usuarios accedan a su contenido sin la clave de descifrado. Duralock Ransomware crea una nota de rescate llamada HOW_TO_BACK_FILES.html en el ordenador infectado. Esta nota suele contener instrucciones para la víctima sobre cómo pagar un rescate a los atacantes a cambio de la clave de descifrado necesaria para desbloquear los archivos cifrados. Este artículo presenta métodos de eliminación, herramientas de eliminación y posibles formas de descifrar archivos cifrados sin negociar con malhechores.

RSA-4096 Ransomware es una variante de la familia de ransomware Xorist, conocida por cifrar los datos de las víctimas y exigir un rescate por la clave de descifrado. Esta cepa en particular utiliza el algoritmo de cifrado RSA-4096, que forma parte del cifrado RSA asimétrico con un tamaño de clave de 4096 bits, lo que lo hace muy seguro y difícil de descifrar. Cuando el ransomware RSA-4096 cifra archivos, añade el .RSA-4096 extensión de los nombres de archivos. Por ejemplo, un archivo originalmente llamado 1.jpg sería renombrado a 1.jpg.RSA-4096. Después de cifrar archivos, el ransomware RSA-4096 lanza una nota de rescate titulada HOW TO DECRYPT FILES.txt en el escritorio de la víctima o dentro de directorios cifrados. Esta nota explica que los archivos han sido cifrados y proporciona instrucciones sobre cómo pagar el rescate para recibir la clave de descifrado. Las víctimas reciben instrucciones de pagar 2 BTC (alrededor de $124,000 al momento de escribir este artículo) dentro de las 48 horas por la clave de descifrado. Sin embargo, pagar no garantiza la recuperación de archivos y la eliminación del ransomware no descifra los archivos. El único método de recuperación confiable son las copias de seguridad.

Payuranson Ransomware es un tipo de malware que pertenece a la familia de ransomware Skynet. Tras una infiltración exitosa, Payuranson Ransomware inicia una sofisticada rutina de cifrado. Por lo general, se dirige a una amplia gama de tipos de archivos, incluidos documentos, imágenes, vídeos y bases de datos, para maximizar el impacto del ataque. El ransomware añade una extensión de archivo específica a los archivos cifrados, normalmente .payuranson, que sirve como un claro indicador de infección. El algoritmo de cifrado empleado por Payuranson Ransomware suele ser avanzado y utiliza combinaciones de métodos de cifrado RSA y AES. Se trata de algoritmos criptográficos conocidos por su solidez, lo que hace que el descifrado no autorizado sea excepcionalmente desafiante sin la clave de descifrado única que poseen los atacantes. Tras el proceso de cifrado, Payuranson Ransomware genera una nota de rescate, normalmente denominada SkynetData.txt o una variante similar, y lo coloca en cada carpeta que contenga archivos cifrados. Esta nota incluye instrucciones sobre cómo contactar a los atacantes, generalmente a través de correo electrónico o un sitio de pago basado en Tor, y el monto del rescate exigido, a menudo en criptomonedas como Bitcoin. La nota también puede contener amenazas de eliminación o exposición de datos para obligar a las víctimas a pagar el rescate.