Ransomware

De vuelta en 2016, KeRanger se convirtió en el primer ransomware que atacó a los usuarios de Mac. La mayoría de los usuarios quedaron asombrados cuando se dieron cuenta de que sus datos están bloqueados porque descargaron un cliente BitTorrent legítimo llamado Transmisión. En ese momento, los ciberdelincuentes lograron piratear su sitio web e inculcar un virus de cifrado de archivos en una nueva versión que estaba a punto de salir. Por lo tanto, los usuarios atraparon inadvertidamente un ataque de malware al actualizar la aplicación instalada previamente. Desafortunadamente, los laboratorios no han identificado la medida adecuada para descifrar los datos infligidos. En cambio, las víctimas ofrecen una solución de pago que consiste en comprar un programa de descifrado. La transacción debe realizarse a través del navegador Tor pagando 1 BTC (alrededor de 407 en ese momento), ahora Bitcoin representa aproximadamente $ 5,260. Los extorsionistas también afirman que responderán a cualquiera de sus preguntas si está realmente motivado para pagar un rescate. También puede descifrar 1 archivo a través de la página Tor vinculada en la nota. Como se mencionó, las herramientas de terceros actualmente no pueden descifrar los datos bloqueados.

Si bien la mayoría de los desarrolladores de ransomware se centran en infectar sistemas basados ​​en Windows, Edad Locker en su lugar, se dirige a Mac y Linux. El ransomware se posiciona como un virus orientado a los negocios que se propaga a las empresas corporativas, sin embargo, también ocurren ataques a los usuarios habituales. El proceso de cifrado es bastante similar al de Windows, la única diferencia es el uso de diferentes extensiones y formatos de archivo. AgeLocker aplica su símbolo del sistema personal para ejecutar el proceso de cifrado. Los archivos que han sido afectados por AgeLocker se asignan con extensiones personalizadas basadas en los nombres de los usuarios. Es imposible identificar qué archivo fue infectado porque AgeLocker cifra el nombre original y agrega una extensión aleatoria al final. Algunas personas informaron que sus archivos se agregaron con el .sthd2 extensión y el nombre de los archivos cifrados comienza con la edad-encryption.org Dirección URL. Una vez que todos los archivos se bloquean correctamente, el virus envía una nota de rescate (seguridad_auditoría_.eml) al correo electrónico de la víctima.

AESMewLocker ransomware es una amenaza real que apunta a sus datos cifrándolos con algoritmos de formato de archivo AES. No es nada peculiar del mundo del ransomware. El virus apareció en varios foros hace un par de días y planteó una gran pregunta en torno a sus víctimas: ¿cómo descifrar archivos? Por ahora, no hay formas viables de desbloquear archivos que se cifran con el .locked extensión después de la penetración. Todos sus archivos se vuelven inaccesibles y se pueden desbloquear, solo si cumple con los requisitos del estafador y paga por la clave de descifrado. La clave en sí no es barata, tienes que gastar 0.05 BTC y contactar a los extorsionistas para obtener instrucciones de descifrado. Toda esta información se indica en una nota de rescate (LEER_ES.txt) creado después de un cifrado exitoso.

IOCP es una infección de ransomware que cifra los datos personales y los mantiene bloqueados hasta que las víctimas pagan un supuesto rescate. Utiliza la extensión aleatoria de 5 letras para reemplazar la apariencia del archivo original. Una vez que se agrega, su archivo restablecerá su ícono y lo cambiará a 1.mp4.UAKXC, por ejemplo. Algunas personas se equivocan al decir que IOCP es parte de Conti ransomware. Esto no es cierto porque Conti usa algoritmos AES mientras que IOCP aplica Salsa20 y ChaCha20, en su lugar. Una vez que sus archivos se bloquean, el virus crea una nota de rescate (R3ADM3.txt) que contiene instrucciones sobre cómo descifrar sus datos. Se dice que debe escribir un correo electrónico a una de las direcciones adjuntas. No se establecen límites de tiempo, sin embargo, los ciberdelincuentes dicen que, a menos que pague por el software de descifrado, sus archivos se publicarán en la web. Por el momento, debido a que este ransomware es relativamente nuevo, los expertos no han encontrado una forma viable de descifrar archivos de forma gratuita.

Zorab es un virus de cifrado de archivos determinado por S! R1, investigador de malware que abrió una serie de otras infecciones. Las consecuencias entregadas por Zorab se pueden ver claramente en el cifrado de datos y las demandas de pago para obtener herramientas de descifrado. Todos los archivos afectados por ransomware se volverán a configurar con .zrb or .zorab2 extensión. Por ejemplo, un archivo libre de virus como 1.mp4 obtendrá una mirada de 1.mp4.zrb or 1.mp4.zorab2 después de la penetración. Tal cambio significa que sus archivos ya no serán accesibles. Para descifrarlos, los extorsionistas ofrecen leer las instrucciones dadas en una nota de texto (--DECRYPT - ZORAB.txt) que se elimina después de que se realiza el cifrado principal. En la nota de rescate, los ciberdelincuentes intentan consolar a las víctimas confundidas y hacerles saber que sus datos están seguros y pueden recuperarse. Lo único que tienen que hacer es comprar un software de descifrado en BTC después de establecer contacto con los ciberdelincuentes por correo electrónico. Además, hay un truco diseñado para generar confianza en los usuarios: descifrar 2 archivos pequeños de forma gratuita. Desafortunadamente, dado que está tratando con medios fraudulentos, no hay garantía real de que sus archivos se recuperen como resultado. Esta es la razón por la que la mayoría de los expertos cibernéticos recomiendan a las personas que ahorren dinero y creen copias de seguridad extrañas de forma preventiva para restaurar los archivos bloqueados después de eliminar el malware.

Descubierto en 2020, CoronaLock restringe el acceso a los datos de los usuarios cifrándolos con algoritmos ChaCha, AES y RSA. Los archivos comprometidos por este ransomware, experimentan un cambio en la extensión a .pandemia, .bloqueo de corona or .biglock. Por ejemplo, si 1.mp4 es modificado por el virus, migrará a 1.mp4.corona-cerradura or 1.mp4.biglock. Después de esto, los extorsionistas muestran información sobre el rescate en la nota (!!! READ_ME !!!. TXT or LÉAME_BLOQUEO.TXT) que se coloca en el escritorio. Curiosamente, las personas que son atacadas con la extensión ".biglock" no tienen ninguna información de contacto en la nota de rescate para conectarse con los ciberdelincuentes. Parece que sus desarrolladores se olvidaron de incluirlo antes del lanzamiento. Mientras tanto, las versiones ".corona-lock" no tienen ese inconveniente y contienen correo electrónico en el archivo de texto. Si desea realizar una prueba de descifrado, puede enviarles un archivo.

Estar categorizado como infección de ransomware, Django no es un virus para jugar. Tan pronto como cae en su PC, causa estragos en los datos personales al encriptar con algoritmos especiales que no permiten que las herramientas de terceros tengan ningún argumento en el futuro. Durante el cifrado de datos, sus archivos se modifican con el .djang0unchain3d extensión. Esto significa que un archivo como 1.mp4 será cambiado a 1.mp4.djang0unchain3d y restablecer su icono original. Parece que los desarrolladores inspiraron una película de Hollywood llamada "Django Unchained" y decidieron tomar prestado su nombre. Una vez que el cifrado llega a su fin, las víctimas reciben instrucciones de rescate en Readme.txt que explican cómo descifrar sus datos. Los ciberdelincuentes dicen que para recuperar sus archivos, debe comunicarse con ellos a través de la dirección de correo electrónico adjunta e incluir su identificación. Si no recibe una respuesta dentro de las 24 horas, debe escribir a otro correo electrónico mencionado en la nota. Después de esto, los extorsionistas le pedirán que compre la clave de descifrado a través de la billetera BTC que lo ayudará a restaurar el acceso a los datos bloqueados eventualmente.

Descubierto recientemente, Dharma-2020 es un programa de ransomware que utiliza fuertes algoritmos criptográficos para bloquear datos y exigir el pago de un rescate. Después de que el virus ataca su computadora, instantáneamente cifra los archivos almacenados al cambiarles el título con la dirección de correo electrónico de un criminal y otros símbolos. Por ejemplo, 1.mp4 será renombrado en algo como 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Después de un cifrado exitoso, el programa muestra una ventana de mensaje y crea una nota de rescate llamada FILES ENCRYPTED.txt. El malware bloquea cualquier intento de descifrar sus archivos y utilizar ciertos programas de seguridad. Luego, Dharma-2020 Ransomware hace un clásico puro pidiendo a los usuarios que paguen un rescate en BTC (de $ 50 a $ 500) y envíen un cheque de pago a su correo electrónico, después de lo cual, le darán un programa de descifrado.