Ransomware

Una nueva infección de ransomware conocida como DEcovid19 ha llegado a la web y ha provocado muchos ataques en equipos desprotegidos. El virus fue informado el 11 de enero por víctimas desesperadas con datos encriptados. Según la información actual, está claro que DEcovid19 bloquea el acceso a los datos cambiando las extensiones de archivo a .covid19 or .locked. Un ejemplo del original 1.mp4 afectado por ransomware puede aparecer de dos formas: como 1.mp4.locked or 1.mp4.covid19. Una vez que el proceso de cifrado llega a su fin, el programa malicioso crea una nota de texto (!DECRYPT_FILES.txt or ATTENTION!!!.txt) destinado a explicar las instrucciones de descifrado. En el interior, los usuarios pueden ver un vistazo rápido a la información del virus. La siguiente parte del texto está dedicada a restaurar sus datos. Se dice que los usuarios se comunican con el bot de telegramas adjuntando una identificación personal en la línea de asunto y escribiendo cuántas PC deben ser descifradas. También es necesario enviar 1 o 2 archivos cifrados que no contengan información importante (menos de 2 MB) para que los ciberdelincuentes puedan encontrar el decodificador adecuado para sus datos. Lo último, pero no menos importante, dicho por los estafadores son los límites de tiempo: tiene 72 horas para tomar una decisión y pagar por la clave de descifrado.

Fair Ransomware es una de las muchas piezas peligrosas que encripta el tipo de datos personales. Pertenece a la familia de malware conocida como Makop, que ha desarrollado una serie de infecciones similares. Una vez que Fair Ransomware ataca su sistema, instala ciertos scripts que bloquean el acceso a varios archivos asignando extensiones únicas. Estas extensiones constan de un número de identificación personal, el sufijo [fairexchange@qq.com] y .fair al final de cada archivo. Un ejemplo de la muestra original que experimentó estos cambios se ve así 1.mp4.[9B83AE23].[fairexchange@qq.com].fair. Si bien el acceso a los datos ya no está en manos de los usuarios, los extorsionistas crean un archivo de texto llamado readme-warning.txt en cada carpeta que contiene archivos cifrados. En el interior de esta nota, los ciberdelincuentes explican brevemente a las personas confundidas lo que les ha sucedido a sus PC. Luego, los creadores de Fair Ransomware dicen que es necesario comprar el software de descifrado (en BTC) para recuperar el control sobre los datos. También ofrecen participar en el llamado "control de garantía", que permite a los usuarios descifrar 2 archivos de tamaño limitado de forma gratuita. Desafortunadamente, aunque tales trucos deberían justificar la integridad de los estafadores, las estadísticas dicen lo contrario.

También conocido como WickrMe, Hello Ransomware es un virus peligroso que cifra datos personales (fotos, videos, documentos, etc.). Al igual que otras infecciones de este tipo, también exige que se pague una tarifa después del cifrado. Sin embargo, antes de eso, Hello Ransomware cambia sus archivos con el nuevo .hello extensión. No se incluyen símbolos adicionales, por lo que sus archivos se verán así 1.mp4.hello y de manera similar. Luego, una vez que estos cambios terminan, el virus crea una nota de texto (Readme!!!.txt) que contiene instrucciones de rescate. En este documento, se indica a los usuarios que se pongan en contacto con los ciberdelincuentes a través de correos electrónicos adjuntos o Wickr Me (un mensajero privado). Por lo tanto, recibirán una lista de pasos para realizar el pago y recuperar los datos comprometidos. Desafortunadamente, aunque los desarrolladores de ransomware suelen ser las únicas figuras que pueden descifrar sus datos, no recomendamos implementar el pago requerido. De lo contrario, puede parecer una pérdida de dinero en efectivo, ya que no hay garantía de que obtenga el descifrado prometido. Estadísticamente, los extorsionistas ignoran a los usuarios incluso después de completar todos los pasos. Por lo tanto, es necesario eliminar Hello Ransomware de su computadora para evitar un mayor descifrado de datos.

Dharma es una familia de ransomware considerada la mayor desarrolladora de infecciones de ransomware. Se han encontrado muchas versiones que atacan a los usuarios con cifrado de datos y mensajes de solicitud de rescate. Sin embargo, una de las versiones recientes detectadas activa se conoce como yoAD Ransomware. Al igual que los virus similares de este tipo, asigna el nuevo .yoAD extension with random ID and cybercriminals' e-mail to each piece of data stored on a compromised PC. For example, the original file like 1.mp4 obtendrá una mirada de 1.mp4.id-C279F237.[yourfiles1@cock.li].yoAD, o similar. Dichos cambios hacen que sus archivos ya no sean accesibles ya que se denegará cualquier intento de iniciarlos. Luego, una vez que este proceso llega a su fin, el virus interviene con la creación de instrucciones de texto. Se presentan en el FILES ENCRYPTED.txt document right on your desktop. As extortionists claim, the only way to restore your data is by contacting them via e-mail. Then, they will supposedly give you a crypto-wallet to send money in Bitcoin. After this, you will be given the necessary tools to restore your data. Unfortunately, this method does not fit everybody because amounts asked by cybercriminals can be astronomically high and not easy to pay.

Cripto-Locker Mijnal es una infección de tipo ransomware que codifica datos personales con algoritmos AES + RSA. La aplicación de tales medios hace que el cifrado asignado sea difícil de descifrar utilizando métodos tradicionales. En otras palabras, se asegura de que el descifrado manual no se lleve a cabo después de que los datos estén bloqueados. Desafortunadamente, en la mayoría de los casos, parece realmente imposible, pero debería intentarlo después de leer este texto. Al igual que otras infecciones, Mijnal cifra sus datos cambiando una extensión de archivo a .mijnal. Por ejemplo, una muestra como "1.mp4" se modificará a "1.mp4.mijnal" y se restablecerá su icono original. Una vez que el proceso de cifrado llega a su fin, el virus crea una nota de texto llamada "README_LOCK.txt" que contiene instrucciones de canje. La información que se presenta en el interior está escrita en ruso, lo que significa que los desarrolladores se centran principalmente en las regiones de la CEI. Sin embargo, hay algunos usuarios en inglés que también pueden verse afectados. Si está dispuesto a descifrar sus datos lo antes posible, los ciberdelincuentes piden a las víctimas que abran el enlace adjunto a través del navegador Tor y sigan las instrucciones allí mismo. Entonces, es más probable que los extorsionistas le pidan que pague una cierta cantidad en Bitcoin para obtener acceso a sus datos. A pesar de que pagar el rescate suele ser el único método para superar el cifrado de datos, recomendamos no atender ninguna solicitud, ya que también puede ser peligroso para su bolsillo y su privacidad.

Leitkcad es un ejemplo puro de cripto-malware que ejecuta el cifrado de datos personales para obtener el llamado rescate. Los síntomas más vívidos que insinúan la presencia de Leitkcad es la asignación de .leitkcad extensión. En otras palabras, se verá al final de cada archivo afectado por malware. Por ejemplo, un archivo como 1.mp4 será cambiado a 1.mp4.leitkcad y restablecer su icono original. Luego, una vez que se cambian todos los archivos, el virus pasa a la siguiente fase creando una nota llamada ayuda-leitkcad.txt. Contiene información sobre el cifrado, así como instrucciones para restaurar sus datos. Los ciberdelincuentes dicen que debe comunicarse con un operador y completar su identificación, clave personal y correo electrónico a través de la página de chat. El enlace solo se puede abrir mediante el navegador Tor, que las víctimas deben descargar. Luego, después de establecer contacto con los ciberdelincuentes, recibirá más instrucciones sobre cómo comprar el software de descifrado. Además, vale la pena señalar que reiniciar y alterar los archivos cifrados puede provocar una pérdida permanente. Los extorsionistas establecen ciertos algoritmos que les ayudan a detectar su actividad. Esto significa que si se niega a cumplir con cualquiera de las advertencias anteriores, sus archivos se eliminarán momentáneamente.

Un nuevo criptovirus conocido como Cripta Lucifer entró en el juego hace un par de días para cifrar datos personales. Mientras dure el estudio, ya es evidente que este ransomware restringe el acceso a los datos al asignar una extensión de cadena larga (.id=[].email=[].LuciferCrypt). Una ilustración rápida de una muestra infectada se vería así 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Una vez finalizado el proceso de cifrado, el virus continúa su presencia creando un archivo de texto llamado CómoRecuperarArchivos.txt. En este documento, los extorsionadores notifican a las víctimas sobre el éxito del cifrado. Para revertirlo, las víctimas deben contactar a los ciberdelincuentes por correo electrónico y pagar una tarifa para recuperar los archivos. Una vez hecho esto, sus datos serán descifrados automáticamente, sin involucrar manipulaciones. También se dice que el precio depende directamente de la rapidez con la que responda a los estafadores. Antes de hacer eso, también puede aprovechar el descifrado gratuito. Los desarrolladores ofrecen enviar hasta 3 archivos (menos de 4 MB y no archivados), que no deben contener información valiosa.

Después Bomba ransomware ataca su sistema, todos los datos quedan encadenados por fuertes algoritmos que restringen el acceso a ellos. El malware se agrega .bomba extensión a los archivos que codifica. Por ejemplo, un archivo como 1.mp4 adquirirá un nuevo aspecto de 1.mp4.pump y restablecer su icono original. La extensión aplicada al final significa que sus archivos están encriptados. Estas modificaciones suelen ir acompañadas de la creación de instrucciones de rescate. En nuestro caso, el virus suelta un archivo de texto llamado README.txt que te ayudará a recuperar los archivos. El contenido que se presenta en el interior es breve, los ciberdelincuentes solo adjuntan su dirección de correo electrónico para llamar a las víctimas para que se pongan en contacto con ellos. Luego, supuestamente darán más instrucciones sobre cómo comprar el software de descifrado. No importa cuán lejos llegue el precio, cumplir con las solicitudes de los estafadores es arriesgado: pueden volverse tontos en sus promesas y no dejarle herramientas incluso después de realizar un pago.