Ransomware

infante es un ejemplo de infección de ransomware, que cifra diferentes tipos de datos personales almacenados en un sistema. Una vez que este proceso termine oficialmente, las víctimas ya no podrán acceder a sus datos. Infa Ransomware asigna una extensión común (.infa) a todos los archivos comprometidos. Esto significa un archivo como 1.pdf será cambiado a 1.pdf.infa o similar dependiendo del nombre original. Inmediatamente después de que se haya cambiado el nombre de todos los archivos, el virus fuerza una nota de texto llamada leer ahora.txt para colocarlo en su escritorio. Contiene información general sobre cómo recuperar sus datos. Como se indica en la nota, se han cifrado archivos como fotos, videos, documentos y otros formatos. Para borrar los cifrados adjuntos, se desea que las víctimas se pongan en contacto con los ciberdelincuentes (a través de stevegabriel2000@gmail.com) y compre una clave de descifrado especial. El precio es igual a 0.0022 BTC, que es aproximadamente 95 $ en el momento en que escribimos este artículo. También se menciona que hay 2 días asignados para el descifrado de archivos. A menos que complete el pago a tiempo, sus archivos se borrarán del sistema. La elección de pagar el descifrado depende de su propia decisión.

MedusaLocker es uno de los mayores agregadores de ransomware que propaga una serie de infecciones de malware. Al igual que otros programas de ransomware, el virus está destinado a cifrar los datos almacenados en la PC y exigir un rescate monetario a cambio de un software de descifrado. .krlock, .L54y .ever101 son las versiones más recientes publicadas por MedusaLocker Ransomware. También son las extensiones asignadas a cada pieza comprometida. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.krlock, 1.pdf.L54o 1.ever101 dependiendo de qué versión pirateó su sistema. No hay una diferencia real en qué versión atacó su red. Todos ellos utilizan una combinación de algoritmos AES y RSA para escribir cifrados seguros sobre los datos. El único aspecto que varía son las notas de texto de rescate creadas después de que se realiza el cifrado. Aunque el contenido puede diferir, pero aún contiene más-menos el mismo mensaje para las víctimas infectadas. Puede enfrentarse a notas de rescate con el nombre Instrucciones_de_recuperación.html, HOW_TO_RECOVER_DATA.html, o similar que conduce a las páginas del navegador.

Venenoso es un virus de tipo ransomware que bloquea la mayoría de los datos almacenados y exige el llamado rescate para recuperarlos. Este proceso se conoce más como cifrado de archivos, ya que existen cifrados criptográficos aplicados por malware con la ayuda de algoritmos AES-256. Además de cifrar archivos en el nivel de configuración, Venomous también los cambia visualmente. Combina nombres de archivos originales, identificaciones de víctimas y .venenoso extensión para cambiar el nombre de los datos comprometidos. Por ejemplo, un archivo como "1.pdf" aparecerá como 1.pdf.FB5MMSJUD2WP.venomous al final del cifrado. Poco después de esto, Venomous pasa a crear un archivo de texto llamado LO SENTIMOS-POR-ARCHIVOS.txt que almacena instrucciones de descifrado. La nota indica que todos los datos almacenados en su sistema se han infectado con algoritmos sólidos. También se le advierte que no cambie el nombre ni edite los archivos cifrados, ya que puede hacer que se rompan. Para garantizar una recuperación de datos garantizada y sin corrupción, se ofrece a las víctimas la compra de claves de descifrado almacenadas por los ciberdelincuentes. Para esto, los usuarios deben enviar su identificación personal a @venomous_support a través de la aplicación Telegram o contactar a los extorsionistas usando venenoso.files@tutanota.com dirección de correo electrónico. Además de eso, también se propone probar el descifrado gratuito antes de pagar el rescate. Para hacer esto, se guía a las víctimas para que abran un enlace Tor adjunto a la nota y carguen 1 muestra de datos cifrada.

Ser parte de la Dharma Ransomware familia, Dharma-TOR es otro programa malicioso que ejecuta el cifrado de datos personales. Al cometer este acto, los desarrolladores obligan a las víctimas a pagar el llamado rescate. La primera señal de que Dharma-Tor está infectando su sistema se refleja en nuevas extensiones de archivo. Los ciberdelincuentes asignan la identificación personal de la víctima, la dirección de contacto y .TOR extensión al final de cada archivo. Por ejemplo, 1.pdf o cualquier otro archivo almacenado en su sistema obtendrá una nueva apariencia de 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, o algo similar. Poco después de que todos los datos se cambien con éxito, Dharma-TOR presenta una ventana emergente junto con un archivo de texto llamado FILES ENCRYPTED.txt, que se coloca en el escritorio. Tanto la ventana emergente como la nota de texto están destinadas a instruir a las víctimas a través del proceso de recuperación. Se dice que los usuarios deben contactar a los desarrolladores por correo electrónico indicado en la extensión con su identificación personal. En caso de no recibir respuesta, se indica a las víctimas que elijan otra dirección de correo electrónico adjunta en la nota. Después de establecer un contacto exitoso con los ciberdelincuentes, es probable que los usuarios reciban instrucciones de pago para comprar el descifrado de datos.

Usuarios infectados con Makop Ransomware verá sus datos bloqueados del acceso regular y cambiados por medios visuales. Existen diferentes versiones utilizadas por los desarrolladores de Makop para propagarse a las víctimas. La única diferencia real entre ellos radica en varias extensiones y direcciones de correo electrónico (.hinduismo, .gamigin, .dev0, etc.) utilizado para cambiar el nombre de los archivos cifrados. El resto puede describirse como pura réplica de versiones anteriores de Makop mediante una plantilla. Una vez que este virus se instala en una PC, casi todos los datos disponibles se asignarán con una identificación única de las víctimas, un correo electrónico de contacto y una extensión aleatoria, según la versión que haya atacado su sistema. Por ejemplo, un archivo como 1.pdf será cambiado a algo como esto 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduism, o de manera similar con otras extensiones como .gamigin, .dev0 o .makop. Poco después de que esta parte del cifrado llega a su fin, el virus suelta una nota de texto llamada readme-warning.txt en cada carpeta que contiene datos comprometidos. La nota enumera una serie de preguntas y respuestas que explican los detalles de la recuperación. Se dice que los usuarios tienen la única forma de restaurar los datos: pagar por el descifrado en Bitcoins. Las instrucciones de pago se obtendrán solo después de establecer contacto por correo electrónico (hinduismo0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.iou otra dirección). Asimismo, las extensiones, las direcciones de contacto son una parte de la ecuación que también varía de persona a persona.

Gooolag es una infección de ransomware que hace que todos los datos almacenados se corten del acceso regular para exigir el pago de un rescate de recuperación. Es más probable que las empresas de altos ingresos se infecten con esta versión de ransomware. Los ciberdelincuentes utilizan .crptd extensión a cada archivo cifrado. Por ejemplo, una pieza de datos como 1.xls cambiará a 1.xls.crptd y restablecer su icono original. Después de esta etapa de cifrado, las víctimas reciben instrucciones de descifrado presentadas dentro de una nota de texto llamada How To Restore Your Files.txt. La nota revela un mundo de información angustiosa con respecto a los datos. Al principio, los ciberdelincuentes afirman que se han cargado 600 Gigabytes de datos importantes en servidores anónimos. Luego, las víctimas son golpeadas con algunas llamadas de intimidación: ataques DDoS (denegación de servicio distribuida) en dominios completos y contactos de la empresa. Para evitar que suceda y perder todos los datos, las víctimas están obligadas a ponerse en contacto con los extorsionadores mediante comunicación por correo electrónico (Gooolag46@protonmail.com or guandong@mailfence.com). Si los desarrolladores sospechan algo relacionado con la policía o las autoridades cibernéticas, el proceso de recuperación se verá afectado.

Kikiriki es una infección de ransomware que aísla el acceso a los datos almacenados en una PC. Todos los archivos importantes terminan encriptados y alterados por medios visuales. Los desarrolladores de Kikiriki agregan el nuevo .kikiriki extensión junto con la identificación de la víctima. Para ilustrar, un archivo como 1.pdf es probable que cambie a 1.pdf.kikiriki.19A-052-6D8 y de manera similar. Poco después de esto, el virus crea un archivo de texto llamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Los desarrolladores de ransomware afirman que no hay otra forma de descifrar sus datos que no sea pagar el rescate. El precio del descifrado aún no se ha decidido en futuras negociaciones, sin embargo, las víctimas ya están informadas de que debería hacerse en Bitcoin. Para conocer más instrucciones de pago, se solicita a las víctimas que se pongan en contacto con los extorsionadores a través de las plataformas qTOX o Jabber. También se le solicita que pruebe el descifrado de datos gratuito. Las víctimas pueden enviar 2 archivos bloqueados de formato .jpg, .xls, .doc o similar, excepto las bases de datos (tamaño máximo de 2 MB). Esto debería demostrar la capacidad de descifrado y elevar la confianza de las víctimas. A pesar de esto, es común ver a muchos ciberdelincuentes engañar a sus víctimas incluso después de recibir el rescate. Por lo tanto, pagar el rescate está lleno de riesgos que cualquier persona infectada con malware debería considerar.

Ser parte de la ByteLocker familia, JanusLocker es una infección de ransomware que bloquea el acceso a los archivos almacenados en un sistema. Al hacerlo, los desarrolladores chantajean a las víctimas para que paguen un supuesto rescate a cambio de los datos. Tanto las instrucciones de pago como las de descifrado se encuentran dentro de una nota de texto, que se crea después de que todos los archivos terminan cifrados. JanusLocker asigna el .HACTED extensión a cada pieza de archivo. Por ejemplo, 1.pdf o cualquier otro archivo atacado en su PC cambiará a 1.pdf.HACKED y dejar de ser accesible. Está escrito que todos los datos importantes se han cifrado utilizando algoritmos AES-256. Para borrar el cifrado adjunto, se indica a los usuarios que paguen por un software de descifrado único. El precio del software equivale aproximadamente a 0.018 BTC, que es aproximadamente 618 USD al momento de escribir este artículo. Después de que los usuarios completen la transferencia de dinero a través de la dirección de cifrado adjunta, deben notificar a los ciberdelincuentes con su ID de transacción mediante el correo electrónico (TwoHearts911@protonmail.com). Poco después, los usuarios deberían obtener las herramientas de descifrado prometidas compradas a los ciberdelincuentes. Por desgracia, este no es siempre el caso. Muchos desarrolladores de ransomware engañan a sus víctimas incluso después de recibir el pago. Es por eso que confiar en JanusLocker por medios monetarios es un riesgo bastante grande.