Ransomware

SUPERSUSO es un programa de ransomware que utiliza sólidos algoritmos de cifrado para evitar que los usuarios accedan a sus propios datos. Este cambio está destinado a estimular a las personas a pagar el llamado rescate para recuperar archivos cifrados. Las víctimas aprenderán sobre el cifrado de archivos mediante las nuevas extensiones que se les asignan. Los desarrolladores de SUPERSUSO utilizan .ICQ_SUPERSUSO extensión para cambiar el nombre de todos los datos bloqueados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.ICQ_SUPERSUSO y restablecer su icono original. Lo mismo se aplicará a todos los datos bloqueados en su sistema. Después de esto, SUPERSUSO emite un archivo de texto llamado # Descifrar # .txt para explicar las instrucciones de recuperación. Al principio, se indica a las víctimas que instalen el software ICQ para PC, Android o IOS y escriban a la dirección del destinatario de los ciberdelincuentes, que se menciona en la nota. ICQ es un mensajero confiable y legítimo utilizado por los ciberdelincuentes para establecer una comunicación anónima con sus víctimas. Si las víctimas no se ponen en contacto con los desarrolladores dentro de las 72 horas, la información comprometida se recopilará y se filtrará a los mercados de la darknet.

Shasha es el nombre de un virus ransomware que cifra y cambia datos con el .shasha extensión. La nueva extensión no es una parte esencial del cifrado, sino un aspecto visual destinado a resaltar los datos bloqueados. Si ve esta extensión asignada a la mayoría de los datos como este 1.pdf.shasha, entonces sin duda está infectado con ransomware. El siguiente paso del desarrollador después de bloquear el acceso a los archivos es explicar cómo recuperarlos. Para ello, los ciberdelincuentes a cargo del virus Shasha crean una nota de texto llamada READ_ME.txt y cambiar los fondos de escritorio. Dentro de esta nota, los extorsionistas afirman que son las únicas figuras capaces de descifrar sus archivos. Para ser más precisos, son los que tienen claves privadas y software de descifrado que pueden desbloquear los datos. Se solicita a las víctimas que lo compren por 50 $ en BTC. El pago debe enviarse a través de la dirección de Bitcoin adjunta en la nota. Desafortunadamente, es bastante incierto cómo los ciberdelincuentes le enviarán el software de descifrado comprado.

ComúnRescate está clasificado como un virus ransomware que cifra los datos almacenados en los dispositivos infectados para exigir el pago de su devolución. Esta versión fue descubierta por un investigador de malware llamado Michael Gillepsie. Al igual que muchas infecciones de ransomware, CommonRansom asigna su propia extensión para resaltar los datos bloqueados. Todos los datos cifrados por CommonRansom cambiarán como este archivo aquí: 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. Después de esto, una cosa más que el virus debe iniciar es la creación de una nota de rescate. El nombre de la nota es DESCIFRANDO.txt y se coloca en cada carpeta con archivos infectados. Esta nota dice que las víctimas tienen 12 horas de anticipación para solicitar el descifrado de datos; de lo contrario, ya no habrá posibilidad de devolverlos. También hay una plantilla que debe usarse al contactar a los ciberdelincuentes por su dirección de correo electrónico. La plantilla adjunta es realmente muy sospechosa, ya que solicita a las víctimas que escriban el puerto RDP de su PC, un nombre de usuario junto con la contraseña utilizada para iniciar sesión en el sistema y la hora en la que pagó 0.1 BTC a la dirección criptográfica indicada.

Gyjeb es un virus ransomware que ejecuta el cifrado de datos para extorsionar a las víctimas. Se parece mucho a Keq4p Ransomware, lo que significa que es probable que provengan de la misma familia de malware. Al igual que Keq4p, Gyjeb Ransomware asigna una cadena aleatoria de símbolos sin sentido junto con sus propios .gyjeb extensión. Para ilustrar, un archivo como "1.pdf" cambiará su apariencia a algo como 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb y restablecer su icono original. Una vez que todos los archivos terminan editados de esta manera, el virus crea una nota de texto llamada nTLA_HOW_TO_DECRYPT.txt lo que implica instrucciones de descifrado. Puede familiarizarse con esta nota en la captura de pantalla siguiente.

Keq4p es una infección de ransomware que cifra los datos personales mediante algoritmos criptográficos. Estos algoritmos garantizan una sólida protección de datos contra los intentos de descifrarlos. Los archivos atacados por ransomware suelen ser fotos, videos, música, documentos y otros tipos de datos que podrían tener algún valor. La mayoría de los cifradores de archivos cambian todos los archivos afectados asignando su propia extensión. Keq4p hace exactamente lo mismo, pero también adjunta una cadena aleatoria de símbolos. Por ejemplo, un archivo como 1.pdf cambiará a algo como 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p o similar. La cadena asignada es totalmente aleatoria y no tiene un propósito real. Junto con los cambios visuales, Keq4p cierra su proceso de cifrado con la creación de zB6F_HOW_TO_DECRYPT.txt, un archivo de texto que contiene instrucciones de rescate. Puede echar un vistazo más de cerca a lo que contiene en la siguiente captura de pantalla.

Hydra es una infección de ransomware que hace que los datos de los usuarios sean inaccesibles al ejecutar un cifrado completo. Además de no poder acceder a los datos, los usuarios también pueden detectar algunos cambios visuales. Hydra asigna una nueva cadena de símbolos que contienen las direcciones de correo electrónico de los ciberdelincuentes, la identificación generada aleatoriamente asignada a cada víctima y la .HIDRA extensión al final. Para ilustrar, un archivo como 1.pdf cambiará su apariencia a [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA y restablezca el icono original en blanco. Tan pronto como todos los archivos terminan encriptados, el virus promueve instrucciones de rescate para guiar a las víctimas a través del proceso de recuperación. Esto se puede encontrar dentro de # FILESENCRYPTED.txt nota de texto, que se crea después del cifrado. Los desarrolladores de Hydra dicen que las víctimas pueden restaurar sus archivos escribiendo a la dirección de correo electrónico adjunta (HydaAyuda1@tutanota.com or HydraHelp1@protonmail.com). Después de esto, los ciberdelincuentes deben dar más instrucciones para comprar el descifrado de archivos.

Delta plus es un virus de tipo ransomware que utiliza algoritmos criptográficos para cifrar datos personales. Asigna cifrados fuertes que son difíciles de decodificar sin herramientas especiales de descifrado que poseen los propios ciberdelincuentes. Para comprar estas herramientas, se solicita a las víctimas que envíen el equivalente a 6,000 USD en BTC a una dirección de cifrado. El precio del descifrado también puede reducirse a 3,000 USD si logra completar el pago dentro de las primeras 72 horas después de haber sido infectado. Toda esta información se divulga dentro de la nota de texto llamada Ayuda a restaurar tus archivos.txt, que se crea tan pronto como se realiza el cifrado de archivos. Delta Plus agrega el .delta extensión a todos los archivos afectados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.delta y pierde su icono original. Después de estos cambios, los usuarios ya no podrán acceder a sus archivos hasta que paguen el rescate requerido.

Descubierto por Tomas Meskauskas, se determina que Koxic es una infección de ransomware que opera cifrando los datos almacenados en la PC. En otras palabras, la mayoría de archivos como fotos, videos, música y documentos serán bloqueados por el virus para evitar que los usuarios accedan a ellos. Todos los archivos cifrados también se vuelven nuevos .KOXICO or .KOXIC_PLCAW extensiones. Esto significa archivos encriptados como 1.pdf cambiará a 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. El mismo patrón se aplicará a los datos residuales cifrados por ransomware. Después de hacer las cosas con el cifrado, el virus crea una nota de texto que explica las instrucciones de rescate. Estas instrucciones indican que las víctimas deben comunicarse con los desarrolladores a través de koxic@cock.li or koxic@protonmail.com correos electrónicos con su DNI. Esta identificación se puede encontrar adjunta a la nota de rescate. Si no es visible, existe la posibilidad de que alguna versión de Koxic Ransomware que se haya infiltrado en su sistema aún esté en desarrollo y en prueba.