Ransomware

Encriptar es otra infección drástica que cifra los datos personales y exige a las víctimas que paguen un rescate. Fue descubierto por Jirehlov Solace quien, por lo tanto, lo categorizó como ransomware. Durante el estudio, resultó que Encrp infecta los datos almacenados asignando la .encrp extensión. Esto significa que después del cifrado, verá todos los archivos con este aspecto 1.mp4.encrp. Este no es el final del proceso todavía, a los usuarios se les presenta una nota de texto (__LÉEME_PARA_RECUPERAR_SUS_ARCHIVOS.txt) que contiene información sobre el descifrado. Se dice que las víctimas deben enviar aproximadamente 200 $ en BTC a la cuenta de los ciberdelincuentes. Luego, el paso final es enviar un mensaje de correo electrónico que incluya la transferencia y las identificaciones de la computadora. Si todo funciona, se le darán las herramientas necesarias para descifrar archivos. En otros casos, existe la posibilidad de que los estafadores decidan ignorar sus promesas y no te dejen nada más que desilusión.

Ragnarok es una infección de ransomware descubierta por Karsten Hahn. Las consecuencias de este ataque son similares a otras amenazas de este tipo: el cifrado de los datos almacenados mediante la adición de una nueva extensión. Los desarrolladores de Ragnarok Ransomware pueden tener otras versiones del virus, sin embargo, este caso implica la asignación de .thor or .ragnarok_cry extensiones. No se incluyen símbolos adicionales, verá un archivo con la extensión maliciosa al final (1.mp4.ragnarok_cry). Una vez que se completa el proceso de cifrado, los usuarios reciben una nota con los pasos de descifrado denominados Cómo_descifrar_mis_archivos.txt (alternativamente, !! Read_me_How_To_Recover_My_Files.html). La nota de texto establece que los archivos cifrados solo se pueden desbloquear con una herramienta especial, que está en manos de los ciberdelincuentes. Para obtenerlo, las personas deben comunicarse con los estafadores y enviar la tarifa requerida de BTC a su dirección. También puede proporcionar un archivo (menos de 3 Mb) para el descifrado gratuito. De esta manera, los extorsionadores supuestamente están demostrando que se puede confiar en ellos. En realidad, pueden despedirte e ignorar el hecho de que has pagado por la recuperación. La eliminación de Ragnarok Ransomware no descifrará sus archivos, sin embargo, es importante hacerlo para evitar un mayor cifrado de datos.

Resolver ransomware es una pieza maliciosa que especifica en el cifrado de almacenamiento de red. Las víctimas que tenían su almacenamiento NAS infectado, experimentaron cambios en los archivos con el nuevo .encriptado extensión, por lo que uno de ellos aparecería así 1.mp4.encrypted. Esta extensión es más genérica y ha sido utilizada por muchos desarrolladores de ransomware. Solve Ransomware no se ha examinado lo suficiente para proporcionar herramientas para desbloquear el cifrado asignado. Es por eso que los extorsionistas ofrecen contactarlos y pagar el rescate en BTC a través de instrucciones presentadas en una nota de texto (RESOLVER ARCHIVOS CIFRADOS.txt) que se crea una vez finalizado el proceso de cifrado. Desafortunadamente, esta opción no garantiza la transparencia y honestidad de los estafadores. Puede ser engañado y no recibir ninguna herramienta de descifrado incluso después de realizar el pago. Es por eso que le recomendamos que elimine Solve Ransomware e intente descifrar los datos a través de algunos de los instrumentos básicos que se proporcionan a continuación.

egregor es ransomware que pertenece a Sekhmet family y promueve varias versiones de malware. Esta vez, los usuarios informaron haber lidiado con el virus llamado Egregor que encripta datos privados y exige un desencriptado pagado. Dependiendo de la versión que haya atacado su sistema, el proceso de cifrado puede variar un poco. Por ejemplo, Egregor agrega .egregor extensión a cada uno de los archivos infectados para que se vean así 1.mp4.egregor. Alternativamente, los archivos pueden recibir una cadena de caracteres generados aleatoriamente (1.mp4.WaBuD). Una vez finalizada la encriptación, el virus continúa creando una nota llamada RECOVER-FILES.txt que contiene instrucciones paso a paso para recuperar los datos comprometidos. Se dice que las víctimas deben ponerse en contacto con los ciberdelincuentes a más tardar 3 días a través del enlace del navegador adjunto. Si el plazo anunciado llega a su fin, los extorsionadores publicarán datos sensibles en toda la web. Los ciberdelincuentes pueden solicitar diferentes tarifas por la recuperación. A veces, la cantidad puede superar los miles de dólares, especialmente si los datos tienen un valor significativo para los propietarios. Desafortunadamente, no podrá encontrar ninguna herramienta gratuita para descifrar los archivos afectados por Egregor. En este momento, la única forma viable de recuperar datos es mediante el uso de una copia de seguridad externa si se creó una antes del cifrado.

Cambiar nombreX12 es una infección de ransomware que cifra archivos de diferentes tipos. A diferencia de infecciones similares de este tipo, no agrega extensiones ni símbolos para identificar los archivos bloqueados. Todos los datos parecen originales incluso después del ataque real. Esto lo hacen los extorsionistas intencionalmente para evitar que los usuarios detecten el nombre del ransomware y encuentren formas de descifrar archivos. A pesar de esto, los expertos cibernéticos lograron descifrar el misterio y establecieron el nombre del virus a través de la nota de texto (Nuevo Documento de texto) que se crea después del cifrado. Esta nota contiene instrucciones para ayudarlo a recuperar los datos bloqueados. Los estafadores piden a las víctimas que se pongan en contacto con ellos a través de uno de los correos electrónicos adjuntos. Después de pagar el rescate (generalmente en Bitcoin), recibirá herramientas de descifrado para descifrar los datos. Sin embargo, este es un gran riesgo ya que no hay evidencia que pueda atestiguar su confiabilidad. La mejor manera de descifrar archivos es eliminar el ransomware y recuperar datos de copias de seguridad externas, si se creó una antes del cifrado.

Mount Locker es un programa de cifrado de archivos que apunta a datos de redes comerciales. Aísla diferentes tipos de datos agregando una nueva extensión que incluye Leer manual y una cadena de caracteres aleatorios. Por ejemplo, después del cifrado, las víctimas verán que su archivo cambia de 1.mp4 a 1.mp4.ReadManual.5B975F6B. Dato interesante: como dijo una de las víctimas, algunos archivos que cambiaron de nombre después de la penetración no estaban encriptados en absoluto. Solo se vieron afectados visualmente. Cualquiera que sea el caso, Mount Locker siempre deja caer una nota llamada ManualRecuperación.html que explica las instrucciones paso a paso sobre cómo recuperar los archivos bloqueados. Dice que no se debe intentar descifrar ningún archivo manualmente. De lo contrario, puede resultar en una pérdida permanente. Para restaurar sus datos, los ciberdelincuentes solicitan seguir el enlace del navegador Tor y pagar el rescate en BTC. Debido a que Mount Locker tiene como objetivo las empresas de TI, la tarifa requerida puede rebasar los límites. Sin embargo, esta sigue siendo la única forma viable de revivir archivos, ya que no existen métodos gratuitos para realizar una recuperación. Solo puede restaurarlos desde una copia de seguridad externa si se creó y se desconectó antes de la infección.

Hace mucho tiempo, en 2017, el mundo de Mac experimentó una nueva amenaza: FindZip ransomware. Se encontró disfrazado de cracks para Adobe Premiere Pro y Microsoft Office promocionados en sitios web de piratería. Cuando abra el archivo descargado, se le presentará una ventana transparente. FindZip no infecta a los usuarios por la fuerza. Para iniciar el cifrado, debe hacer clic en el botón "Inicio". Luego, el cliente comienza a imitar el proceso de descifrado, que convertirá su escritorio en un desastre cifrado. Todos los archivos se cifran utilizando las carpetas zip para contener archivos con la .crypt extensión. Sorprendentemente, las claves de cifrado creadas por FindZip no se almacenan en el servidor del hacker. Incluso después de enviar 0.25 BTC para comprar la clave de descifrado, no recibirá ninguna herramienta prometida para recuperar los datos. Curiosamente, el virus actúa de manera incierta, no toca las copias de seguridad de Time Machine ni los dispositivos externos. A pesar de que FindZip usaba algoritmos sólidos en ese momento, los expertos del laboratorio de Malwarebytes encontraron una forma de descifrar archivos sin pérdida permanente.

Tomas es una amenaza de alto riesgo, clasificada como ransomware. Mediante algoritmos especiales, las infecciones de este tipo cifran los datos personales y exigen dinero a las víctimas. Tomas no es una excepción, se enfoca en varios tipos de datos, incluidas imágenes, videos, archivos de texto y otros tipos valiosos. Cuando Tomas aparece en su sistema, deshabilita los servicios de protección y activa el cifrado de datos. Durante el proceso, el virus cambia los archivos almacenados más allá del reconocimiento. Por ejemplo, un archivo como 1.mp4 se cambiará usando una larga cadena de símbolos como este 1.mp4.[E3CEFA3F].[tomasrich2020@aol.com].tomas. Este modelo consta del nombre de archivo original, la identificación personal, la dirección de correo electrónico del ciberdelincuente y la .tomas extensión para terminar. Una vez finalizado el proceso, Tomas crea una nota llamada readme-warning.txt que establece cómo descifrar sus datos. Los ciberdelincuentes están tratando de desconectarlo después de una pérdida tan grande diciendo que sus archivos pueden ser descifrados. Lo único que debe hacer es comprar una clave de descifrado que puede costarle más de un salario mensual, aproximadamente 3000 dólares, que solo se aceptan en Bitcoin.