Ransomware

Anime es el nombre de un criptovirus. Está diseñado para hacer que los datos almacenados en el sistema sean inaccesibles y no operativos. Los usuarios infectados con ransomware pueden ver el proceso de encriptación mirando los archivos restringidos; todos terminan cambiados con el .anime extensión. Por ejemplo, un archivo como 1.pdf será alterado a 1.pdf.anime y restablecer su icono original también. Después de hacer las cosas con el cifrado, el virus lanza instrucciones de rescate sobre cómo recuperar los datos. Se pueden encontrar dentro de un archivo de texto llamado YO_AMO_ANIME.txt. Como se indica en la nota, las víctimas tienen 2 días para contactar a los ciberdelincuentes en zdarovachel@gmx.at y pagar por el descifrado de los archivos. Si las víctimas no cumplen con el plazo asignado, todos los datos cifrados se publicarán en los recursos de la web oscura para futuros abusos. Además, los desarrolladores de ransomware también desaconsejan modificar los archivos o intentar descifrarlos sin ciberdelincuentes. Al momento de escribir este artículo, no existe una forma garantizada de descifrar datos de forma gratuita sin la ayuda de los desarrolladores iniciales.

Kashima (Kashima Ware) es un programa ransomware, el tipo de software malicioso diseñado para cifrar datos y exigir dinero a cambio de su devolución. A diferencia de otras infecciones de este tipo, el virus se dirige a formatos de archivo específicos y bastante inusuales: .config, .cfg, .js, .NOOB, .lua, .lwy .tryme así como. Por lo tanto, los modifica con el .KASHIMA extensión. Por ejemplo, un archivo como 1.js cambiará a 1.js.KASHIMA, 1.cfg a 1.cfg.KASHIMA y así sucesivamente con otros datos afectados. Tan pronto como se completa este proceso, Kashima muestra un mensaje emergente (¡ADVERTENCIA!) en toda la pantalla.

Lo siento, es solo un negocio es el nombre de un virus ransomware. Al igual que otras infecciones de este tipo, encripta datos personales y chantajea a las víctimas para que paguen un rescate. El proceso de cifrado se puede detectar fácilmente mirando los archivos afectados. Sorryitsjustbusiness cambia sus extensiones originales a caracteres aleatorios y restablece los íconos en blanco. Para ilustrar, un archivo como 1.pdf puede cambiar a 1.pdf.ws9y, 1.png a 1.png.kqfb, y así sucesivamente con otras extensiones y archivos aleatorios. Después de un cifrado exitoso, el virus crea una nota de texto llamada read_it.txt e instala nuevos fondos de escritorio. Tanto la nota de texto como los fondos de pantalla muestran información sobre cómo recuperar los datos. Se dice que las víctimas deben comprar una clave exclusiva para descifrar sus archivos. El costo de esta clave es la friolera de 150,000 XNUMX $ que se pagarán en Bitcoin a la dirección criptográfica adjunta. Una vez realizada la transferencia, las víctimas deben informar a los estafadores enviando un mensaje a su dirección de correo electrónico (lo siento, es solo un negocio@protonmail.com). Si las víctimas no hacen esto dentro de las 24 horas posteriores a la infección, el precio del descifrado se duplicará. También se menciona que los archivos cifrados se eliminarán después de 48 horas de inacción de las víctimas. En función de la cantidad de rescate exigida, podemos suponer que el objetivo de Sorryitsjustbusiness se fija en empresas con un buen nivel de ganancias. Como regla general, no se recomienda confiar en los ciberdelincuentes y pagar el rescate que quieren.

Ser parte de la polvo familia, TAQUILLA ANUBIZ es una infección de ransomware diseñada para cifrar datos. Lo hace mediante el uso de algoritmos de cifrado seguro y la modificación de los nombres de los datos afectados con el .lomer extensión. Para ilustrar, un archivo llamado 1.pdf cambiará a 1.pdf.lomer y restablezca su icono original en blanco. Después de restringir con éxito el acceso a los datos, el virus chantajea a las víctimas para que paguen un rescate. Esto se hace a través de la How To Restore Your Files.txt archivo de texto que se crea en dispositivos comprometidos. El archivo dice que todos los archivos valiosos se cifraron y copiaron en los servidores de los ciberdelincuentes, y también se eliminaron todas las copias de seguridad. Las víctimas pueden potencialmente restaurar sus datos comprando un software de descifrado especial ofrecido por los atacantes. Se guía para establecer contacto con los ciberdelincuentes utilizando su dirección de correo electrónico para obtener más detalles sobre el descifrado. Los usuarios infectados también pueden adjuntar un archivo en su mensaje y descifrarlo de forma gratuita. Si las víctimas ignoran estas solicitudes y se demoran en pagar el rescate, los ciberdelincuentes amenazan con comenzar a filtrar los archivos recopilados a los recursos de la web oscura.

Qmam4 es una infección de alto riesgo categorizada como criptovirus. La razón por la que se llama así radica en su comportamiento posterior al ataque: el virus exige a las víctimas que paguen una suma de dinero en criptomonedas al bloquear el acceso a los datos. Estas infecciones también se conocen como ransomware. Encriptan datos personales y chantajean a las víctimas para que paguen el rescate. Durante el cifrado, Qmam4 adjunta una cadena de caracteres aleatorios y el nuevo .qmam4 extensión a cada archivo afectado. Por ejemplo, 1.pdf cambiará a 1.pdf.{random sequence}.qmam4 dejando de ser accesible. Después de esto, Qmam4 crea un archivo de texto llamado C3QW_HOW_TO_DECRYPT.txt que ilustra cómo las víctimas pueden desbloquear sus datos. Se dice que las víctimas pueden descifrar y evitar que se vendan datos importantes en los recursos de la web oscura. Para ello, se indica a las víctimas que se pongan en contacto con los ciberdelincuentes mediante el enlace Tor. Después de ponerse en contacto con los desarrolladores, supuestamente le dirán que envíe dinero en criptomoneda y luego recupere una herramienta especial de descifrado. Si las víctimas se niegan a seguir las instrucciones, los datos recopilados se filtrarán a manos de terceros. Desafortunadamente, la colaboración con los ciberdelincuentes podría ser la única forma de descifrar sus datos y evitar la filtración pública de datos. Es menos probable que alguna herramienta de terceros pueda descifrar sus datos de forma gratuita sin la ayuda de atacantes.

ALBASA es un virus de tipo ransomware diseñado para encriptar datos almacenados en el sistema y chantajear a las víctimas para que paguen dinero por su devolución. Durante el cifrado, todos los archivos adquieren la nueva .ALBASA extensión y restablece sus íconos originales en blanco. Esto también va acompañado de la creación de RESTORE_FILES_INFO.txt - una nota de texto que contiene instrucciones sobre cómo recuperar los datos bloqueados.

comedor es una infección de ransomware que se descubrió recientemente. Cifra archivos personales agregando el .cantopen extensión y la creación de la HELP_DECRYPT_YOUR_FILES.txt archivo de texto para chantajear a las víctimas para que paguen el rescate. Para ilustrar, un archivo llamado 1.pdf será alterado a 1.pdf.cantopen y suelte su icono de acceso directo original. Dicho cambio se aplicará a todos los datos específicos, por lo que ya no se podrá acceder a ellos.

Negro es el nombre de una infección de ransomware que se descubrió recientemente. Está desarrollado para ejecutar el cifrado de datos y chantajear a las víctimas para que paguen dinero por su devolución. Las víctimas pueden detectar el descifrado exitoso simplemente mirando sus archivos; la mayoría de ellos se cambiarán usando el .black extensión y perder los iconos originales. Para dar un ejemplo, 1.pdf será alterado a 1.pdf.black, 1.png a 1.png.black, y así sucesivamente con el resto de los archivos de destino. Luego, tan pronto como se realiza esta parte del cifrado, el virus presenta instrucciones de descifrado dentro de una nota de texto (read_me.txt).