Ransomware

Zeppelin fue descubierto por GrujaRS, que es una pieza maliciosa que infecta computadoras y cifra los datos del usuario. Los programas de este tipo suelen estar diseñados para ganar dinero con usuarios desesperados que bloquearon sus archivos. Como de costumbre, con el cifrado, se produce un cambio significativo en la extensión del archivo: los renombra usando el sistema de numeración hexadecimal a algo como esto 1.mp4.126-A9A-0E9. De hecho, la extensión puede variar según los símbolos, ya que el virus puede generar valores aleatorios. Una vez que se completa el cifrado, Zepellin crea un archivo de texto llamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT en tu escritorio. En esta nota, los extorsionadores lo ofenden con un abuso de rescate y lo llaman para que se comunique con ellos y compre una clave específica. Desafortunadamente, no existe un método probado que pueda descifrar sus datos de forma gratuita en este momento. La única forma de hacerlo es siguiendo sus instrucciones, lo cual es un gran riesgo. Aunque la decisión recae sobre sus hombros, le recomendamos que elimine Zeppelin Ransomware en la guía a continuación.

MOSN se clasifica como una infección de ransomware que exige dinero a las víctimas después de cifrar los datos. Normalmente, estas infecciones afectan a todos los archivos potencialmente importantes como fotos, videos, documentos, bases de datos y más que tienen algún valor para las víctimas. El cifrado puede detectarse mediante nuevas extensiones que se asignan a cada pieza comprometida. Por ejemplo, un archivo llamado 1.pdf cambiará a 1.pdf.MOSN al final del cifrado. Lo mismo se verá con otros datos de acuerdo con este patrón. Luego, poco después de esto, MOSN instala nuevos fondos de pantalla extendidos por toda la pantalla que muestra un breve resumen del rescate. Establece que las víctimas deben comunicarse con los desarrolladores a través de walter1964@mail2tor.com dirección de correo electrónico y pague 300 $ en Bitcoin por el canje de datos. Además, MOSN Ransomware crea un archivo de texto llamado INFORMACIÓN_READ_ME.txt eso explica lo mismo, pero también menciona la cantidad de archivos encriptados y la identificación única que se debe adjuntar al contactar a los extorsionistas.

Divinidad, Matafaka y Army son tres infecciones de ransomware lanzadas por el grupo de desarrollo conocido como Xorist. Una vez que su sistema se infecta con éxito, un virus obliga a la mayoría de los archivos almacenados a cambiar sus nombres. Dependiendo de la versión que atacó su PC, cualquier archivo de imagen, video, música o documento como 1.pdf cambiará a 1.pdf.divinity, 1.pdf.matafakao 1.pdf.army. Después de que cada archivo termina visualmente cambiado, las versiones mencionadas anteriormente muestran un mensaje de texto en ventanas emergentes o archivos de bloc de notas (HOW TO DECRYPT FILES.txt). El texto es diferente para cada versión. Por ejemplo, Matafaka y Army apenas muestran información sobre el descifrado de datos. Mencionan que su PC está pirateada, pero no brindan información ni instrucciones de pago para restaurar los datos. La razón de esto puede ser que estas versiones aún están en desarrollo y prueba. No se excluye que haya versiones completas con instrucciones completas que ya estén circulando por la web. Divinity es la única versión de la lista que tiene datos de contacto para pagar el rescate. Para ello, se pide a los usuarios que escriban un mensaje directo a @lulzed Telegram o @dissimilate en Twitter. Tenga en cuenta que la familia Xorist Ransomware utiliza algoritmos XOR y TEA para cifrar datos personales. Es menos probable que los datos cifrados mediante dichos cifrados se puedan descifrar sin la participación de ciberdelincuentes. A pesar de ello, se desaconseja expresamente atender las demandas de figuras fraudulentas.

Herrco está catalogado como un programa de ransomware malicioso. El malware de este tipo busca datos importantes almacenados en una PC y bloquea el acceso a ellos mediante algoritmos criptográficos. El objetivo principal de los desarrolladores de Herrco se centra en los propietarios de negocios que supuestamente ganan suficiente dinero para pagar el descifrado de archivos. Los extorsionistas detrás de Herrco Ransomware configuraron su software para cambiar todos los datos relevantes con el .herrco extensión. Por ejemplo, un archivo llamado 1.pdf cambiará su apariencia a 1.pdf.herrco al final del cifrado. Por lo tanto, tal cambio es seguido por la creación de Cómo descifrar archivos.txt. Este es un archivo de texto destinado a explicar el descifrado en detalle. Se dice que la única forma de recuperar sus datos en la red infectada es contactar a los desarrolladores y pagar el llamado rescate. El precio se mantiene en secreto y depende de qué tan rápido se comunique con los ciberdelincuentes. Para iniciar la conversación con los ciberdelincuentes, se les pide a las víctimas que abran el enlace Tor y completen su identificación personal, que se indica en la parte superior de la nota de rescate. Antes de hacerlo, también se propone enviar un par de archivos que no contienen información valiosa para el descifrado gratuito.

Keversen es un virus de tipo ransomware que tiene como objetivo el cifrado sólido de datos. Esto está destinado a empujar a las víctimas a pagar el llamado rescate para descifrar los archivos bloqueados. Todas las instrucciones sobre el proceso de recuperación se revelan después de que sus archivos terminan encriptados. El virus Keversen cambia el nombre de una amplia gama de datos personales (fotos, videos, documentos, bases de datos, etc.) con el .keversen extensión. Para ilustrar, un archivo como 1.pdf cambiará a 1.pdf.keversen inmediatamente después del cifrado. Todo esto sucede en un abrir y cerrar de ojos, por lo que no hay forma de evitarlo a menos que tenga instalado un programa especial anti-ransomware. Luego, justo después de que esta etapa de la infección llega a su fin, Keversen Ransomware pasa a crear el ! = LISTO = !. txt note, que arroja algunas palabras sobre cómo recuperar sus datos.

infante es un ejemplo de infección de ransomware, que cifra diferentes tipos de datos personales almacenados en un sistema. Una vez que este proceso termine oficialmente, las víctimas ya no podrán acceder a sus datos. Infa Ransomware asigna una extensión común (.infa) a todos los archivos comprometidos. Esto significa un archivo como 1.pdf será cambiado a 1.pdf.infa o similar dependiendo del nombre original. Inmediatamente después de que se haya cambiado el nombre de todos los archivos, el virus fuerza una nota de texto llamada leer ahora.txt para colocarlo en su escritorio. Contiene información general sobre cómo recuperar sus datos. Como se indica en la nota, se han cifrado archivos como fotos, videos, documentos y otros formatos. Para borrar los cifrados adjuntos, se desea que las víctimas se pongan en contacto con los ciberdelincuentes (a través de stevegabriel2000@gmail.com) y compre una clave de descifrado especial. El precio es igual a 0.0022 BTC, que es aproximadamente 95 $ en el momento en que escribimos este artículo. También se menciona que hay 2 días asignados para el descifrado de archivos. A menos que complete el pago a tiempo, sus archivos se borrarán del sistema. La elección de pagar el descifrado depende de su propia decisión.

MedusaLocker es uno de los mayores agregadores de ransomware que propaga una serie de infecciones de malware. Al igual que otros programas de ransomware, el virus está destinado a cifrar los datos almacenados en la PC y exigir un rescate monetario a cambio de un software de descifrado. .krlock, .L54y .ever101 son las versiones más recientes publicadas por MedusaLocker Ransomware. También son las extensiones asignadas a cada pieza comprometida. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.krlock, 1.pdf.L54o 1.ever101 dependiendo de qué versión pirateó su sistema. No hay una diferencia real en qué versión atacó su red. Todos ellos utilizan una combinación de algoritmos AES y RSA para escribir cifrados seguros sobre los datos. El único aspecto que varía son las notas de texto de rescate creadas después de que se realiza el cifrado. Aunque el contenido puede diferir, pero aún contiene más-menos el mismo mensaje para las víctimas infectadas. Puede enfrentarse a notas de rescate con el nombre Instrucciones_de_recuperación.html, HOW_TO_RECOVER_DATA.html, o similar que conduce a las páginas del navegador.

Venenoso es un virus de tipo ransomware que bloquea la mayoría de los datos almacenados y exige el llamado rescate para recuperarlos. Este proceso se conoce más como cifrado de archivos, ya que existen cifrados criptográficos aplicados por malware con la ayuda de algoritmos AES-256. Además de cifrar archivos en el nivel de configuración, Venomous también los cambia visualmente. Combina nombres de archivos originales, identificaciones de víctimas y .venenoso extensión para cambiar el nombre de los datos comprometidos. Por ejemplo, un archivo como "1.pdf" aparecerá como 1.pdf.FB5MMSJUD2WP.venomous al final del cifrado. Poco después de esto, Venomous pasa a crear un archivo de texto llamado LO SENTIMOS-POR-ARCHIVOS.txt que almacena instrucciones de descifrado. La nota indica que todos los datos almacenados en su sistema se han infectado con algoritmos sólidos. También se le advierte que no cambie el nombre ni edite los archivos cifrados, ya que puede hacer que se rompan. Para garantizar una recuperación de datos garantizada y sin corrupción, se ofrece a las víctimas la compra de claves de descifrado almacenadas por los ciberdelincuentes. Para esto, los usuarios deben enviar su identificación personal a @venomous_support a través de la aplicación Telegram o contactar a los extorsionistas usando venenoso.files@tutanota.com dirección de correo electrónico. Además de eso, también se propone probar el descifrado gratuito antes de pagar el rescate. Para hacer esto, se guía a las víctimas para que abran un enlace Tor adjunto a la nota y carguen 1 muestra de datos cifrada.