Ransomware

Un nuevo criptovirus conocido como Cripta Lucifer entró en el juego hace un par de días para cifrar datos personales. Mientras dure el estudio, ya es evidente que este ransomware restringe el acceso a los datos al asignar una extensión de cadena larga (.id=[].email=[].LuciferCrypt). Una ilustración rápida de una muestra infectada se vería así 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Una vez finalizado el proceso de cifrado, el virus continúa su presencia creando un archivo de texto llamado CómoRecuperarArchivos.txt. En este documento, los extorsionadores notifican a las víctimas sobre el éxito del cifrado. Para revertirlo, las víctimas deben contactar a los ciberdelincuentes por correo electrónico y pagar una tarifa para recuperar los archivos. Una vez hecho esto, sus datos serán descifrados automáticamente, sin involucrar manipulaciones. También se dice que el precio depende directamente de la rapidez con la que responda a los estafadores. Antes de hacer eso, también puede aprovechar el descifrado gratuito. Los desarrolladores ofrecen enviar hasta 3 archivos (menos de 4 MB y no archivados), que no deben contener información valiosa.

Después Bomba ransomware ataca su sistema, todos los datos quedan encadenados por fuertes algoritmos que restringen el acceso a ellos. El malware se agrega .bomba extensión a los archivos que codifica. Por ejemplo, un archivo como 1.mp4 adquirirá un nuevo aspecto de 1.mp4.pump y restablecer su icono original. La extensión aplicada al final significa que sus archivos están encriptados. Estas modificaciones suelen ir acompañadas de la creación de instrucciones de rescate. En nuestro caso, el virus suelta un archivo de texto llamado README.txt que te ayudará a recuperar los archivos. El contenido que se presenta en el interior es breve, los ciberdelincuentes solo adjuntan su dirección de correo electrónico para llamar a las víctimas para que se pongan en contacto con ellos. Luego, supuestamente darán más instrucciones sobre cómo comprar el software de descifrado. No importa cuán lejos llegue el precio, cumplir con las solicitudes de los estafadores es arriesgado: pueden volverse tontos en sus promesas y no dejarle herramientas incluso después de realizar un pago.

MARS ransomware es un programa malicioso descubierto por Michael Gillespie. La forma en que cifra los archivos es muy similar a otras infecciones de este tipo, agregando el nuevo .Marte or .vyb extensión para resaltar los datos afectados. Las víctimas verán que sus archivos se transforman en algo como esto 1.mp4.mars or 1.mp4.vyb. Como resultado de estas acciones, los usuarios no pueden abrir ni manipular archivos de ninguna manera. Para solucionarlo y recuperar sus datos, los ciberdelincuentes ofrecen leer las instrucciones en una nota de texto (!!! MARS_DECRYPT.TXT) creado después del cifrado. Le informa que varios tipos de datos almacenados en su PC se han cifrado con el virus. Para revertirlo, las personas deben pagar 500 $ en BTC por la clave de descifrado. Antes de hacerlo, los extorsionistas insisten firmemente en enviar hasta 3 archivos para su descifrado gratuito para asegurarse de su confiabilidad. Después de esto, el equipo de ciberdelincuentes responderá con el enlace de pago para comprar su software. También puede comunicarse con los desarrolladores a través de Telegram y comprar la clave de inmediato sin probar el descifrado gratuito. Aunque estas características proporcionadas por los estafadores pueden infundir confianza en sus intenciones, se recomienda no estar de acuerdo con lo que dicen, porque no existe una garantía real de que devolverán sus datos seguros y sin daños.

Ingeniería de archivos es un ejemplo de una infección de ransomware que configura archivos de víctimas para restringir el acceso a ellos. La mayoría de las veces, los usuarios no detectan la entrada de malware en los sistemas. Érase una vez, terminaron viendo sus datos cambiados y bloqueados para el acceso regular. FileEngineering lo hace de esta manera: asignando la identificación de las víctimas, la dirección de correo electrónico del ciberdelincuente y .encriptado extensión al final de los archivos. Hay dos versiones de FileEngineering que se están difundiendo por la web. La única diferencia está en usar diferentes direcciones de correo electrónico para contactar a los estafadores. Por ejemplo, puede ver que sus datos aparecen como 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted dependiendo de qué versión afectó a su PC. Luego, el siguiente paso de la actividad de FileEngineering es crear una nota llamada ¡Recupera tus archivos! .Txt que contiene información sobre el descifrado. Dentro de él, la información es tratada por un llamado ingeniero de seguridad. Dice que debe comunicarse con él por correo electrónico y pagar una cierta cantidad de Bitcoin. Luego, devolverá sus archivos descifrados y le dará algunos consejos para mejorar su seguridad. Antes de eso, también puede enviar un archivo pequeño para demostrar que puede desbloquear sus datos. Confiar en los ciberdelincuentes es siempre un gran riesgo, por lo que depende de usted si lo quiere o no. Si los archivos no son de gran valor para usted, simplemente puede eliminar FileEngineering y continuar usando su PC.

Dom or Cripta solar se clasifica como sistemas de ataque de criptovirus para cifrar datos personales. Comenzó su andadura en octubre de 2019 y continúa su presencia infectando a los usuarios hasta estos días. El momento en que SunCrypt se puede detectar en su PC es cuando cambia sus archivos agregando el .sun extensión. También se escuchó sobre otra versión de SunCrypt que aplica una cadena de símbolos aleatorios en lugar de extensiones. Un cambio a algo como esto 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 significa que ya no se le permite acceder a sus datos. Para recuperarlo, SunCrypt crea notas de texto (DECRYPT_INFORMACIÓN.html or SUS_ARCHIVOS_ESTÁN_ENCRIPTADOS.HTML) que contienen instrucciones de rescate. Aunque SunCrypt está orientado principalmente a usuarios de habla inglesa, también tiene la posibilidad de cambiar entre alemán, francés y español. Esto aumenta con mucho el tráfico de víctimas, lo que permite a los desarrolladores ampliar su negocio. Como se indica en la nota, las víctimas deben instalar el navegador Tor y hacer clic en "Ir a nuestro sitio web" para comprar el software de descifrado. La tarifa requerida puede variar según el caso individual, sin embargo, no importa cuán baja o alta sea, recomendamos no correr ese riesgo.

Dharma-259 es una infección de tipo ransomware que pertenece a la familia Dharma. Este grupo de desarrolladores ha traído el mayor impacto a la industria del malware. Con una variedad de programas maliciosos, 259 complementa la lista y cifra los datos personales con algoritmos sólidos que impiden a los usuarios el acceso regular. Como resultado, todos los datos cambian su nombre con una cadena de dígitos, incluida la identificación personal, el correo electrónico del ciberdelincuente y .259 extensión al final de cada archivo. Por ejemplo, ordinario 1.mp4 experimentará un cambio a algo como esto 1.mp4.id-C279F237.[259461356@qq.com].259 y restablecer su icono predeterminado. Luego, una vez que el proceso de cifrado llega a su fin, el virus abre a la fuerza una ventana emergente y crea una nota de texto llamada FILES ENCRYPTED.txt, los cuales contienen información sobre la recuperación de datos. Como se indica tanto en la ventana emergente como en la nota, las víctimas deben comunicarse con los estafadores por correo electrónico adjuntando una identificación personal. Además de eso, puede enviar hasta 1 archivo (menos de 1 MB) para descifrarlo gratis. Luego, una vez que los extorsionistas reciban su mensaje, se le guiará con pasos sobre cómo comprar un software de descifrado. A veces, la tarifa requerida puede dispararse más allá de los límites, volviéndose inasequible para la mayoría de los usuarios. Incluso si está listo para enriquecer a los ciberdelincuentes comprando su software, le recomendamos que no lo haga, porque la mayoría de los usuarios informan de un alto riesgo de ser engañados y no obtienen ninguna herramienta para restaurar los datos.

Desarrollado por un grupo de extorsionistas turcos, SifreCikis es una infección de ransomware que cifra datos personales y exige una tarifa por la recuperación. Crea un cifrado sólido en datos confidenciales utilizando algoritmos AES y RSA. Como resultado, el descifrado de archivos se vuelve difícil de lograr, incluso con herramientas de terceros. Todos los datos cifrados por SifreCikis obtienen una nueva extensión basada en estos patrones: . {secuencia-alfanumérica-aleatoria}. Por ejemplo, un archivo como 1.txt cambiará a algo como esto 1.txt.E02F4934FC5A. Luego, una vez realizado el cifrado, los usuarios encuentran una nota llamada ***N / A*** que contiene instrucciones de rescate. Desafortunadamente, el contenido de la nota es difícil de concebir para hablantes no nativos, sin embargo, un grupo de investigadores lo tradujo y resumió información clave. Afirma que debe ponerse en contacto con los ciberdelincuentes por correo electrónico y adjuntar su identificación personal en el tema del mensaje. Luego, recibirá más instrucciones para comprar el software de descifrado (500 $ en BTC). Si no hay respuesta de los extorsionistas, debe leer la información a través del enlace en el navegador Tor. Los investigadores de malware detectaron el nombre de dominio que comenzaba con sifrecikx, que está en consonancia con sifre ciki (que significa "cifrado / contraseña + salir" en turco). Además, durante la investigación, los investigadores definieron que SifreCikis podría ser un hermano de SifreCozucu, ya que se ve muy similar con pequeñas diferencias.

Trípoli clasificada como una infección de ransomware destinada a provocar el cifrado de datos personales. Por lo general, el objetivo principal son las fotos, videos, documentos y otros archivos que pueden almacenar datos confidenciales. Después de que este virus ataque su sistema, todos los archivos se verán afectados por .cifrado extensión. Algunas víctimas informaron que extensiones como .trípoli también existe, lo que significa que hay dos versiones de Tripoli Ransomware. De hecho, importa cuál penetró en tu PC, porque la forma en que funcionan es casi la misma. Como resultado del cifrado, se restringirá el acceso regular a todos los archivos y los usuarios ya no podrán abrirlos ni modificarlos. Para solucionarlo, los extorsionistas se ofrecen a seguir los pasos enumerados en una nota de texto (HOW_FIX_FILES.htm). Los pasos obligan a las víctimas a instalar el navegador Tor y comprar el software de descifrado siguiendo la dirección adjunta. La decisión de realizar el pago debe realizarse en un plazo de 10 días. Insistimos en no actuar sobre pasos fraudulentos ya que no hay garantía de que le envíen las herramientas prometidas. Una mejor manera es eliminar Tripoli Ransomware y restaurar los archivos perdidos desde una copia de seguridad externa (almacenamiento USB). Si no tiene uno, intente utilizar la siguiente guía para acceder a sus datos.