Ransomware

Si sus archivos han sido encriptados y alterados con el .wincrypto extensión, entonces es probable que sea víctima de WinCrypto ransomware. Es una infección de alto riesgo que bloquea el acceso a datos importantes almacenados en una PC o red. Después del cifrado, archivos como "1.pdf", "1.mp4", "1.png" y otros con extensiones potencialmente valiosas restablecerán sus iconos en blanco y se les asignarán nuevas extensiones. Para ilustrar, 1.pdf cambiará a 1.pdf.wincrypto, 1.mp4 a 1.mp4.wincrypto, "1.png" a 1.png.wincrypto y así sucesivamente con otros tipos de archivos. Una vez que se realiza esta parte del cifrado, el virus emite un archivo de texto llamado LÉAME WINCRYPTO.txt que almacena instrucciones de rescate. Las mismas instrucciones también se presentan dentro de una ventana emergente que se abre automáticamente. El texto tanto en la ventana emergente como en la nota indica que todos los documentos, fotos, bases de datos y otros datos importantes se han cifrado firmemente. Para revertir esto y recuperar el acceso a los archivos, se guía a las víctimas para que compren la clave privada y el software de descifrado especial. El pago debe realizarse después de descargar el navegador TOR y ponerse en contacto con los desarrolladores a través del enlace. Después de eso, las víctimas participarán en una conversación para obtener más instrucciones. Desafortunadamente, actualmente ninguna herramienta de terceros puede descifrar datos comprometidos por WinCrypto Ransomware con una garantía del 100%.

arquitecto es un programa de ransomware que ataca datos importantes bloqueando el acceso a ellos. Por lo tanto, el virus pide a sus víctimas que paguen el llamado rescate para obtener un software de descifrado único y eliminar el bloqueo asignado. Los usuarios infectados también verán sus archivos cambiados con el .arquitecto extensión. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.architek y restablecer su icono original. El ransomware también crea una nota de texto llamada Cómo descifrar archivos.txt para explicar las instrucciones de descifrado. La nota dice que la red de los usuarios se ha cifrado debido a la falta de seguridad. Para devolver el acceso a sus archivos, las víctimas deben ponerse en contacto con los desarrolladores. Aunque no hay un precio estimado escrito por los extorsionistas, se menciona que el precio del descifrado depende de qué tan rápido se contacten las víctimas a través del enlace TOR dado. En caso de que se niegue a seguir los pasos enumerados, los ciberdelincuentes amenazan con compartir sus datos con terceros potencialmente interesados ​​en ellos. Como garantía de que pueden descifrar sus datos, los extorsionistas ofrecen enviar un par de archivos. Los descifrarán de forma gratuita y demostrarán que se puede confiar en ellos. Desafortunadamente, este no es siempre el caso de los ciberdelincuentes, ya que son propensos a engañar a sus víctimas y a no enviar ninguna herramienta de descifrado. A pesar de esto, podría ser imposible descifrar todos los datos por completo sin la ayuda de los ciberdelincuentes.

STOP/Djvu ha sido una de las familias de ransomware más populares y devastadoras que se dirige a una gran cantidad de usuarios en todo el mundo. Es operado por desarrolladores experimentados que crean y emiten nuevas versiones de ransomware de forma regular. Al igual que otros programas maliciosos de este tipo, STOP / Djvu utiliza sólidos algoritmos criptográficos junto con la asignación de extensiones personalizadas para restringir el acceso a los datos. Después de esto, los usuarios no pueden abrir sus archivos porque están bloqueados con cifrados seguros. Mientras están deprimidos y mentalmente deprimidos después de recibir el virus, los ciberdelincuentes ofrecen una solución para guardar archivos: comprar un software de descifrado especial que les devolverá el acceso a los datos. Muestran instrucciones de rescate dentro de una nota (.txt, HTML o ventana emergente) que se crea al final del cifrado. A las víctimas a menudo se les indica que se pongan en contacto con los desarrolladores y envíen una suma estimada de dinero en BTC u otras criptomonedas. Sin embargo, es obvio que a muchos les gustaría evitarlo y recuperar los archivos de forma gratuita o al menos a bajo precio. Esto es exactamente de lo que vamos a hablar hoy. Siga nuestra guía a continuación para conocer todos los pasos necesarios que debe aplicar para descifrar o restaurar archivos bloqueados por STOP / Djvu.

NRCL bloquea el acceso a los datos y pide a sus víctimas que paguen el llamado rescate. El malware que ejecuta el cifrado de datos y extorsiona dinero de los infectados generalmente se clasifica como ransomware. NRCL lo hace utilizando cifrados criptográficos fuertes para evitar el descifrado manual de archivos. Tras su cifrado exitoso, los archivos almacenados en un sistema sufrirán dos cambios visuales: el nuevo .NRCL la extensión y los iconos se restablecen en blanco. Una muestra que pasó por estos cambios se vería así 1.pdf.NRCL. Además, NRCL crea un archivo de texto llamado Nota.txt con instrucciones sobre cómo devolver sus datos. La misma información también se oculta dentro de una pequeña utilidad de descifrado que se puede abrir a través de NRCL_Decryptor.exe. El contenido de ambos archivos dice que solo hay una forma de recuperar sus datos: pagar 300 $ por el descifrado. Los extorsionistas también guían a las víctimas para que no apaguen su PC o realicen manipulaciones con archivos. Para completar el pago y obtener una clave de descifrado especial, las víctimas deben comunicarse con los desarrolladores a través de una comunicación por correo electrónico. Después de eso, las víctimas deben recibir la clave, insertarla en el espacio dedicado de la ventana emergente y hacer clic en Descifrar. Sin embargo, en el momento de escribir este artículo, los expertos en malware descubrieron que los correos electrónicos proporcionados por NRCL no existen, lo que significa que este ransomware aún puede estar en desarrollo.

MME se clasifica como una infección de ransomware que se propaga a sistemas desprotegidos para cifrar datos y extorsionar a las víctimas para que los devuelvan. El virus usa su propia extensión (.MME) para resaltar los datos bloqueados y hacer que los usuarios detecten su restricción. Por ejemplo, un archivo previamente intacto llamado 1.pdf cambiará a 1.pdf.MME y restablezca su ícono original luego de un cifrado exitoso. Como resultado de este cambio, las víctimas ya no podrán acceder al archivo. Para solucionar este problema y volver al uso regular de archivos, los ciberdelincuentes ofrecen optar por la solución de pago: compre un software de descifrado especial que devolverá sus datos. Las instrucciones para hacer se enumeran en una nota de texto llamada Read_Me.txt que viene junto con el cifrado. Puedes echar un vistazo a su contenido detallado aquí abajo:

CASILLERO AZUL es una infección de alto riesgo clasificada como ransomware. Su objetivo principal radica en extorsionar a las víctimas después de un cifrado exitoso de datos personales. Asigna lo nuevo .azul extensión y emite una nota de texto llamada restaurar_archivo.txt para guiar a las víctimas a través del proceso de recuperación. Esto significa un archivo como 1.pdf será alterado a 1.pdf.blue y restablecer su icono original. El texto dentro de la nota es similar a otras infecciones de ransomware. Se dice que todos los archivos se han cifrado, se han eliminado las copias de seguridad y se han copiado en el servidor de los ciberdelincuentes. Para revertir el daño y volver a la experiencia normal con archivos en pleno funcionamiento, las víctimas deben comprar un descifrador universal en poder de los desarrolladores de malware. Si decide ignorar las solicitudes de los ciberdelincuentes, comenzarán a descargar sus archivos en los recursos de la web oscura. Mientras se contacta con los desarrolladores sobre el descifrado, se ofrece enviar 1 archivo para que puedan desbloquearlo de forma gratuita. La comunicación entre las víctimas y los ciberdelincuentes debe establecerse a través de métodos de correo electrónico (grepmord@protonmail.com). Después de ponerse en contacto con ellos, las víctimas obtendrán más instrucciones sobre cómo pagar y adquirir el software de descifrado.

Originario de Italia, juliano es un programa de tipo ransomware configurado con sólidos algoritmos criptográficos (AES-256) para ejecutar un cifrado seguro de datos. Al bloquear el acceso a archivos personales, los extorsionistas intentan engañar a las víctimas para que paguen dinero por el descifrado de datos. Las víctimas pueden detectar que sus archivos han sido encriptados simplemente mirando la extensión - el virus agrega la nueva extensión ".Giuliano" para resaltar los datos bloqueados. Esto significa un archivo como 1.pdf cambiará a 1.pdf.Giuliano y restablecer su icono original. La información sobre la recuperación de archivos se puede encontrar dentro de una nota de texto llamada README.txt. Las instrucciones de descifrado dentro de este archivo están representadas en italiano. Los ciberdelincuentes informan a las víctimas sobre una infección exitosa y las alientan a seguir las instrucciones enumeradas. Dicen que debe visitar una página de GitHub para completar algunos formularios. Después de esto, es probable que los desarrolladores de malware se pongan en contacto con sus víctimas y les pidan pagar un rescate. Por lo general, se solicita ejecutar el pago en BTC u otra criptomoneda utilizada por los desarrolladores. Por desgracia, los cifrados aplicados por Giuliano Ransomware son sólidos y apenas se pueden descifrar con herramientas de terceros. Por ahora, la mejor forma de recuperar sus archivos además de colaborar con estafadores es utilizar copias de seguridad.

Al ser un virus ransomware peligroso, Rook apunta al cifrado de datos e intenta chantajear a los usuarios para que paguen el rescate. El virus es fácil de distinguir de otras versiones, ya que asigna el .rook extensión a todos los datos bloqueados. Esto significa un archivo como 1.pdf cambiará a 1.pdf.rook y restablezca su ícono original luego de un cifrado exitoso. Inmediatamente después de esto, Rook Ransomware crea una nota de texto llamada HowToRestoreYourFiles.txt mostrando a los usuarios cómo pueden recuperar los datos. El contenido de la nota de texto dice que puede restaurar el acceso a todos los datos solo contactando a los estafadores y pagando el dinero del rescate. La comunicación debe establecerse por correo electrónico (rook@onionmail.org; securityRook@onionmail.org) o el enlace del navegador TOR adjunto a la nota. Al escribir un mensaje a los ciberdelincuentes, a las víctimas se les ofrece enviar hasta 3 archivos (no más de 1 Mb) y descifrarlos de forma gratuita. De esta manera, los ciberdelincuentes prueban las habilidades de descifrado junto con su confiabilidad hasta cierto punto. Además, si se comunica con extorsionistas dentro de los 3 días previstos, los ciberdelincuentes proporcionarán un descuento del 50% sobre el precio del descifrado. A menos que cumpla con esta fecha límite, los desarrolladores de Rook comenzarán a filtrar sus archivos a su red para abusar de ellos en las páginas de la darknet después. También dicen que ningún instrumento de terceros lo ayudará a recuperar los archivos.