Ransomware

Oye es un virus peligroso que ejecuta el cifrado de datos utilizando cifrados criptográficos para restringir el acceso de las víctimas. Este tipo de infección se clasifica como ransomware y tiene como objetivo atraer a sus víctimas para que envíen dinero para el descifrado. Para mostrar que los archivos almacenados en una PC han sido encriptados, el virus asigna su propia .eeyee extensión con cadenas de símbolos aleatorios generados de forma única para cada muestra cifrada. Por ejemplo, un archivo como 1.pdf se enfrentará a un cambio de 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee o de manera similar con otros símbolos. Los archivos cifrados se bloquearán de cualquier acceso y también restablecerán sus íconos en blanco. Casi inmediatamente después del cifrado, Eeyee crea el 6pZZ_HOW_TO_DECRYPT.txt nota de texto con instrucciones de rescate. La nota está destinada a informar a las víctimas sobre los cambios y guiarlas a través del proceso de recuperación. Los ciberdelincuentes dicen que es obligatorio comprar un software de descifrado especial para devolver los archivos y evitar filtraciones de los datos comprometidos. Se indica a las víctimas que se pongan en contacto con los estafadores utilizando el enlace de cebolla en el navegador Tor. Después de completar estos pasos, las víctimas se pondrán en contacto con los desarrolladores y obtendrán más detalles sobre la compra de las herramientas. La nota también contiene algunos mensajes que aconsejan no modificar datos ni pedir ayuda a terceros (FBI, Policía, Empresas de recuperación, etc.).

Tienes que pagar es un tipo de virus categorizado como ransomware. Funciona cifrando archivos personales y exigiendo dinero a cambio de su devolución. Durante este proceso, el ransomware asigna el .ustednecesitapagar extensión a todos los datos bloqueados. Por ejemplo, un archivo como 1.pdf será cambiado a 1.pdf.youneedtopay y restablecer su icono original. Después de agregar estos cambios, el virus crea una nota de texto llamada LEER_ESTO.txt que está destinado a explicar las instrucciones de descifrado. Los fondos de escritorio también se modifican. Mire más de cerca cuál es el contenido allí.

Casillero de administración es el nombre de un virus ransomware que comenzó a propagarse en diciembre de 2021. Utiliza una combinación de algoritmos AES+RSA para escribir cifrados criptográficos seguros sobre los datos almacenados. Esto afecta el acceso a los archivos y su apariencia visual. Admin Locker agrega una de las siguientes extensiones a todos los datos bloqueados: .admin1, .admin2, .admin3, .1admin, .2admino .3admin. No importa cuál de ellos se le haya aplicado. Su única función es mostrar que los archivos se han cifrado y hacer que las víctimas los vean. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.1admin (u otra extensión) y deja de ser accesible. Una vez realizado el cifrado, Admin Locker explica cómo recuperar los datos en su nota de texto (!!!Recovery File.txt) y en su página web a la que se puede acceder a través del enlace TOR.

Ahora es una infección de ransomware que encripta todos los datos importantes utilizando algoritmos AES-256. También cambia el nombre de los datos bloqueados con símbolos generados aleatoriamente y .de ninguna manera extensión. Para ilustrar, un archivo como 1.pdf cambiará a 611hbRZBWdCCTALKlx.noway y pierde su ícono original después de un cifrado exitoso. Por regla general, la mayoría de los archivos cifrados con ransomware no se pueden descifrar sin la ayuda de los ciberdelincuentes. A pesar de esto, Noway Ransomware es uno de los pocos que se pueden descifrar oficialmente usando la herramienta Emisoft de forma gratuita. Puede descargarlo más en nuestra guía a continuación. Le recomendamos que no se apresure con el proceso de descifrado, ya que primero debe eliminar el virus (también guiado en este tutorial). Además de ejecutar el cifrado de datos personales, Noway emite una nota de texto llamada Desbloquee su archivo Instraction.txt. La nota muestra cómo recuperar sus datos con la ayuda de los desarrolladores de ransomware. Los ladrones dan 72 horas para decidir pagar el rescate. Si las víctimas superan este plazo de pago, los estafadores afirman que sus datos serán inaccesibles para siempre. Esto no es cierto, ya que los desarrolladores de Emisoft lograron descifrar los cifrados y ayudar a las víctimas a descifrar los archivos de Noway de forma gratuita.

RL Wana-XD es una infección de ransomware que cifra datos importantes almacenados en una PC. Para resaltarlo, el virus anuncia su propio Extensión de archivo XD-99 extensión a todos los nombres de archivo afectados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.XD-99 y restablecer su icono original. Como resultado, las víctimas ya no podrán acceder al archivo y explorar su contenido. Para revertir estas implicaciones, los desarrolladores de RL Wana-XD ofrecen a sus víctimas leer instrucciones especiales de descifrado dentro de una nota de texto (Readme.txt). La nota de texto es breve, pero específica: los desarrolladores afirman que la única forma de devolver sus datos es pagar por un software y una clave de descifrado únicos. Para ello, se indica a las víctimas que se pongan en contacto con los estafadores a través de Wana-XD@bk.ru or RL000@protonmail.ch correos electrónicos. Desafortunadamente, las claves utilizadas por RL Wana-XD Ransomware para cifrar sus datos a menudo son seguras y se almacenan en el modo EN LÍNEA. Esto significa que es probable que el descifrado manual con la ayuda de herramientas de terceros no dé frutos o no consiga decodificar solo una parte de los datos. A menos que tenga su identificación personal que termine en t1, es menos probable que el descifrado de terceros ayude. Al mismo tiempo, pagar a los ciberdelincuentes siempre está asociado con un riesgo, ya que pueden engañar a sus víctimas y no enviarles ningún descifrado prometido.

Razer es el nombre de una infección de ransomware que ejecuta el cifrado de datos solicitando a las víctimas que paguen dinero por su devolución. Los usuarios infectados con este virus verán los nombres de sus archivos cambiados con una cadena aleatoria de caracteres, la dirección de correo electrónico de los ciberdelincuentes (razer1115@goat.si), o .razer extensión al final. Por ejemplo, un archivo llamado 1.pdf que pasó por estos cambios se verá algo así 1.pdf.[42990E91].[razer1115@goat.si].razer y restablezca su icono en blanco. Para descifrar los datos, los desarrolladores de virus ofrecen seguir las instrucciones proporcionadas en el readme-warning.txt nota de texto. Se dice que las víctimas deben comunicarse con los fraudes mediante uno de los correos electrónicos (razer1115@goat.si, pecunia0318@tutanota.como pecunia0318@goat.si) y pagar el rescate en bitcoins. Para convencer a las víctimas de que se puede confiar en ellas, los ciberdelincuentes ofrecen la llamada opción de garantía en la que las víctimas pueden enviar 2 archivos con extensiones simples (máximo 1 MB) y recibirlos descifrados de forma gratuita. Muchos creadores de ransomware utilizan este truco para incitar a las víctimas a que paguen el rescate y se mantengan en contacto con ellas. Le recomendamos encarecidamente que evite satisfacer las solicitudes de los desarrolladores y que recupere sus datos mediante una copia de seguridad.

Descubierto por un investigador de malware llamado S!Ri, surtr es un programa de ransomware desarrollado para cifrar varios tipos de datos personales. Siempre es común ver archivos populares como música, fotos y documentos afectados durante el ataque de virus. Surtr utiliza el correo electrónico de los ciberdelincuentes (DecryptMyData@mailfence.com) y .SURT extensión para cambiar el nombre de todos los datos bloqueados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.[DecryptMyData@mailfence.com].SURT y restablezca su icono original en blanco. El mismo cambio se aplicará a otros datos que pasaron por el cifrado. Además, también se crean dos archivos después de un cifrado exitoso: una nota de texto llamada SURTR_README.txt y SURTR_README.hta que está destinado a abrir una ventana emergente. Ambos archivos se utilizan para entregar instrucciones de ransomware a las víctimas. Puede echar un vistazo de cerca a su contenido aquí a continuación:

Ser parte de la Familia de ransomware Dharma, Dr es otro cifrador de archivos que bloquea el acceso a los datos y exige a sus víctimas que paguen dinero por la devolución. Tan pronto como el cifrado entre en vigor, todos los archivos almacenados en un sistema se cambiarán con la identificación única de las víctimas, la dirección de correo electrónico de los desarrolladores y .Dr extensión. Una muestra afectada como 1.pdf se transformará en algo como esto 1.pdf.id-1E857D00.[dr.decrypt@aol.com].dry así sucesivamente con otros tipos de datos cifrados. La única información variable son las identificaciones de las víctimas, por lo que es más probable que sean diferentes para cada usuario infectado. Después de un cifrado exitoso, el virus crea una nota de texto llamada FILES ENCRYPTED.txt. También fuerza la apertura de una ventana emergente que contiene las mismas instrucciones de rescate que en la nota. Las víctimas reciben instrucciones para que se pongan en contacto con los extorsionadores por correo electrónico. Su dirección de correo electrónico también es visible dentro de la nueva extensión que se agrega a los datos bloqueados. En caso de que los desarrolladores no respondan dentro de las 12 horas, las víctimas deben escribir a otro correo electrónico indicado en la nota. Además, los delincuentes detrás del Dr. Ransomware también advierten a sus víctimas que no cambien el nombre de los archivos ni utilicen herramientas de terceros para descifrarlos. Tampoco hay información sobre cuánto deben pagar las víctimas por el descifrado de sus datos, ya que esto se sabrá al contactar a los estafadores.