Ransomware

cat4er es un virus ransomware que activa el cifrado de datos al infectar el sistema objetivo. Lo hace asignando el .cat4er extensión para hacer que los archivos cifrados se vean como 1.pdf.cat4er, 1.png.cat4er, 1.xlsx.cat4er, y así sucesivamente dependiendo del nombre original. Después de ejecutar dichos cambios, el virus crea un archivo HTML llamado HOW_FIX_FILES.htm y destinado a instruir a las víctimas a través del proceso de descifrado. Como se indica en la nota HTML, las víctimas pueden volver a acceder a todos los datos bloqueados yendo al enlace TOR adjunto y siguiendo las instrucciones sobre cómo comprar un software de descifrado especial. Las víctimas tienen 10 días para decidir si pagar el rescate por valor de 0.08 BTC, alrededor de 3300 $ al momento de escribir este artículo. Después de realizar el pago, los ciberdelincuentes prometen enviar las herramientas declaradas capaces de descifrar los archivos. Desafortunadamente, los actores de ransomware son las únicas figuras que tienen las claves necesarias para desbloquear sus datos. Estas claves a menudo están fuertemente protegidas y son casi imposibles de descifrar con la ayuda de herramientas de terceros.

Nuevoexploit es un virus ransomware diseñado para encriptar datos almacenados en PC y chantajear a las víctimas para que paguen el llamado rescate. El cifrado exitoso se justifica después de que Newexploit cambie las extensiones de archivo a .exploit. Por ejemplo, un archivo como 1.pdf soltará su icono original y cambiará a 1.pdf.exploit. Como resultado de esto, los usuarios pierden el acceso a los archivos, lo que significa que ya no pueden leerlos ni editarlos. Para solucionarlo, Newexploit ofrece a sus víctimas que sigan las instrucciones escritas dentro de una nota de texto (INFORMACIÓN DE RECUPERACIÓN.txt). Esta nota se crea inmediatamente después del cifrado exitoso y contiene información sobre cómo recuperar los datos.

Siendo parte de la familia Phobos, Elbie es una infección de ransomware diseñada para generar ganancias para sus desarrolladores extorsionando a las víctimas. Lo hace justo después de cifrar los datos y agregar nuevas extensiones de archivo. Por ejemplo, un archivo llamado 1.pdf cambiará a algo como 1.pdf.id[C279F237-2994].[antich154@privatemail.com].Elbie y también restablecer su icono original. El patrón que utilizan los ciberdelincuentes para renombrar archivos es original_filename.[victim's ID].[antich154@privatemail.com].Elbie. Después de aplicar todos los cambios visuales, el virus crea dos notas de rescate llamadas info.hta y info.txt. Ambos contienen instrucciones breves y más amplias sobre cómo devolver los datos bloqueados.

Cerrojo es un virus ransomware que piratea dispositivos QNAP y NAS utilizando problemas de vulnerabilidad para cifrar los datos almacenados. Ocurre de inmediato y no permite que los usuarios eviten el proceso y guarden sus archivos con un cifrado fuerte. Una vez distribuido, el virus secuestra la pantalla de inicio de sesión de QNAP para presentar una nota de rescate que exige a las víctimas que paguen por el descifrado. Esto impide que los usuarios infectados vayan a cualquier lugar más allá de la pantalla de registro para acceder a su página de administración, por ejemplo. Sin embargo, QNAP señaló que esto se puede omitir utilizando las siguientes URL: http://nas_ip:8080/cgi-bin/index.cgi or https://nas_ip/cgi-bin/index.cgi. Además, todas las ventanas emergentes de notas de rescate también están contenidas en un solo archivo HTML llamado index.html_punto muerto.txt. DeadBolt también asigna el nuevo .cerrojo extensión a todos los datos afectados dentro de un sistema. Para ilustrar, un archivo como 1.pdf cambiará a 1.pdf.deadbolt volviéndose totalmente inaccesible. Lo mismo sucederá con todos los archivos cifrados por DeadBolt Ransomware. Puede ampliar la lista de todas las extensiones de archivo a las que se dirige esta variante de ransomware:

Asistchinadescifrado se clasificó como una infección de ransomware. Esto significa que puede cifrar datos personales y exigir dinero a cambio de su devolución. Durante el cifrado, todos los archivos comprometidos experimentan cambios visuales: el virus agrega .asistchinadecryption junto con una identificación de víctima a los nombres de archivo originales. Por ejemplo, un archivo como 1.pdf será alterado a 1.pdf.asistchinadecryption.C04-41D-05E y restablecer su icono original. Lo mismo se aplicará a todos los demás datos que solo varían con las identificaciones por víctima. El cifrador de archivos también crea un archivo llamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Esta es una nota de rescate destinada a proporcionar a las víctimas pasos sobre cómo recuperar los archivos.

Conejo Blanco está clasificado como un programa ransomware que ejecuta el cifrado de datos para exigir dinero a cambio de su devolución. Fue detectado por Michael Gillespie, un popular investigador de malware que se especializa en infecciones de ransomware. Mientras cifra todos los datos importantes almacenados en un sistema, el virus agrega un .scrypt extensión al final de cada archivo. Por ejemplo, una muestra llamada 1.pdf cambiará a 1.pdf.scrypt y restablecer su icono original. Además, todos los archivos bloqueados obtendrán sus archivos de nota de rescate con claves de cifrado únicas. 1.pdf.scrypt obtendrá 1.pdf.scrypt.txt, 1.xlsx.scrypt - 1.xlsx.scrypt.txt, etcétera.

AvispaLocker es una infección de virus bastante devastadora que encripta datos personales con fuertes algoritmos criptográficos. Esto es para asegurarse de que los usuarios no puedan devolver sus datos sin la ayuda de los ciberdelincuentes. Desafortunadamente, los ciberdelincuentes exigen a sus víctimas que paguen 0.5 BTC, que es una cantidad insoportablemente alta. Los usuarios atacados por WaspLocker reciben esta información dentro de una nota de texto llamada Cómo restaurar sus archivos.txt y una ventana emergente separada con instrucciones sobre cómo recuperar archivos bloqueados. Además, los desarrolladores de WaspLocker destacan el cifrado de datos agregando nuevas extensiones (.locked or .0.locked) y restablecer iconos de archivos. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.locked or 1.pdf.0.locked dependiendo de qué versión de WaspLocker infectó su sistema.

KMA47 fue desarrollado con el único propósito de encriptar datos personales y exigir dinero para su devolución. Dicho virus cae en la categoría de infecciones de ransomware de alto riesgo. El proceso de encriptación de datos comienza con la adición de nuevos .cifrar extensión al final de los archivos bloqueados y termina con la creación de read_me.txt - una nota de rescate que explica las instrucciones sobre cómo recuperar los archivos. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.encrypt y restablecer su icono. KMA47 también cambia los fondos de pantalla de las víctimas. La nota dice que fue pirateado por el virus, lo que resultó en un cifrado completo de datos. Para solucionarlo, se guía a las víctimas para que se pongan en contacto con los ciberdelincuentes mediante la comunicación por correo electrónico (manager@mailtemp.ch or helprestoremanager@airmail.cc) y pagar un rescate de 100 $ eventualmente. Después de enviar el dinero, los desarrolladores de ransomware deben enviar su clave privada y un software de descifrado especial para desbloquear los datos. Aunque los ciberdelincuentes pueden ser las únicas figuras capaces de descifrar por completo sus datos, pagar el rescate no siempre garantiza que los obtendrá eventualmente. Desafortunadamente, el descifrado manual también es menos probable debido a los fuertes algoritmos y al almacenamiento de claves en línea. Puede intentarlo utilizando descifradores de terceros a menos que tenga copias de seguridad disponibles. Si tiene archivos de repuesto almacenados en la nube segura o en el almacenamiento físico, cópielos nuevamente y evite pagar el rescate.