Ransomware

También conocido como fonixcrypter, Fonix ransomware es una infección que utiliza algoritmos Salsa20 y RSA 4098 para restringir la accesibilidad de los datos. Cifra los archivos almacenados de varios formatos: fotos, videos, documentos, audios y otros que parecen ser valiosos para los usuarios habituales. A lo largo del proceso de cifrado, el virus asigna extensiones compuestas, incluido el correo electrónico de los ciberdelincuentes, la identificación personal y .fonix extensión al final. Algunas versiones de Fonix aprovechan otras extensiones como .repter y .XINOF. Por ejemplo, un archivo como 1.mp4 se transformará en 1.mp4.EMAIL=[fonix@tuta.io]ID=[1E857D00].Fonix y restablecer su acceso directo también. Se dice que ninguna herramienta de terceros podrá descifrar sus archivos porque su clave se almacena en los servidores de los ciberdelincuentes. En cambio, los desarrolladores le proponen que compre su clave de descifrado en Bitcoin. Si no lo hace dentro de los 2 días, su tarifa se duplicará inmediatamente. Además, ofrecen información detallada sobre cómo convertir dinero a BTC en caso de que nunca lo haya hecho antes. Como bono de consolación, los extorsionistas proporcionan el descifrado de 1 archivo pequeño de forma gratuita. A pesar de esto, es peligroso pagar por la clave, porque tienden a engañar a los usuarios crédulos, como dicen las estadísticas. Desafortunadamente, es cierto que no existen métodos factibles para desbloquear archivos cifrados por Fonix Ransomware. La mejor manera de restaurarlo es utilizando una copia de seguridad externa de los archivos perdidos, si es posible.

HE-HELP ransomware (Normanzak ransomware) es un tipo de malware que cifra archivos de usuarios o propietarios comerciales. El ransomware se considera la pieza más peligrosa, ya que sus archivos se bloquean para siempre a menos que les pague una determinada tarifa. Desafortunadamente, debido a que HE-HELP apareció en junio de 2020, los expertos en seguridad no han encontrado una solución para descifrar los datos de los usuarios de forma gratuita. Como otras infecciones, el virus asigna nuevas extensiones a archivos normales, ya sea ._ÉL or ._AYUDA. Por ejemplo, 1.mp4 aparecerá como 1.mp4._ÉL o de manera similar después de que se realiza el proceso de cifrado. A partir de entonces, el ransomware activa una apertura automática de un archivo de texto llamado LÉEME_.txt, que se coloca en el escritorio de la víctima. En esta nota, las personas pueden ver el informe de cifrado que incluye instrucciones sobre cómo reactivar sus datos. Dicen que debe comunicarse con ellos a través de uno de los correos electrónicos adjuntos y mencionar el nombre de su empresa. Los ciberdelincuentes también ofrecen una opción gratuita para descifrar hasta 3 archivos como prueba de su honestidad. Además, lo aterrorizan con las amenazas de publicar sus datos en todo el mundo. Sin embargo, si no tiene nada valioso de qué preocuparse, simplemente puede eliminarlo de su computadora. En otros casos, no existe una opción viable para recuperar los archivos afectados con la ayuda de herramientas de terceros. De cualquier manera, le recomendamos que espere un tiempo hasta que los expertos en seguridad encuentren una manera de manejar HE-HELP Ransomware.

PL es una infección de ransomware encontrada recientemente por expertos cibernéticos. El malware de este tipo cifra los archivos y exige una tarifa para recuperarlos. Los desarrolladores de PL Ransomware simplemente asignan el .codificado_PL, a diferencia de otros que utilizan combinaciones complejas de números de identificación con caracteres aleatorios. Por ejemplo, un archivo como 1.mp4 será cambiado a 1.mp4.codificado_PL y restablecer su icono también. Después de esto, el script ransomware crea una nota de texto (! ALL_YOUR_FILES_ARE_ENCRYPTED) que explica cómo descifrar sus datos. Para hacerlo, debe comunicarse con ellos por correo electrónico para obtener más instrucciones para comprar una clave de descifrado. También ofrece la posibilidad de restaurar un par de archivos de forma gratuita para demostrar su integridad. Desafortunadamente, la investigación aún está en curso porque los expertos en seguridad aún no han encontrado una forma de descifrar archivos. Sin embargo, podemos ayudarlo con la desinstalación de PL Ransomware para asegurar una mayor protección en el artículo a continuación.

Forastero es una familia de ransomware que ha desarrollado múltiples versiones de malware para cifrar archivos. Esta versión específica (Outsider) cifra los archivos ubicados en los servidores y las PC de los usuarios. Recientemente, Outsider ha sido identificado como GarantíaDecrypt-Outsider porque se parece mucho a otro ransomware llamado GarantíaDecrypt con pequeñas diferencias. La gama de extensiones que se pueden asignar a archivos cifrados incluye .protegido, .gomer, .edab, .crypt, .popotic1, .popoticus, .guardia, .guardado, .mapa, .sivoy .mbito. Para ilustrar, el archivo original 1.txt será alterado a 1.txt.protegido o similar. Después de esto, el virus crea un archivo txt habitual llamado HOW_TO_RESTORE_FILES.txt.

Ser parte de la Dharma familia, Dharma-Pgp ransomware es una infección peligrosa que pone sus datos bajo llave y exige el pago de un rescate. Durante el proceso de cifrado, todos los archivos se modifican de acuerdo con dicho patrón. 1.mp4.id-1E857D00[openpgp@foxmail.com].pgp. Después de esto, el ransomware crea un archivo de texto llamado FILES ENCRYPTED.txt que representan notas de cifrado. En esta nota, se alerta a los usuarios contra el uso de herramientas de terceros, ya que pueden provocar una pérdida permanente. Para volver a comprar sus archivos, debe comunicarse con los ciberdelincuentes por correo electrónico, adjuntar la identificación personal que se proporciona en la nota y pagar por el software de descifrado eventualmente. También se le ofrece probar el descifrado enviando un archivo pequeño que debe tener menos de 1 MB y no estar archivado.

Kupidon es un tipo de cripto-malware que apareció el 5 de mayo de 2020. Este ransomware cifra una variedad de archivos que incluyen imágenes, archivos ZIP, archivos de texto, documentos y otros datos regulares. Para resaltarlos de los archivos originales, agrega el .kupidon extensión al final de cada archivo. Por ejemplo, 1.mp4 que anteriormente no estaba cifrado, se volverá a titular 1.mp4.kupidon después del cifrado. Después de un cifrado exitoso, el virus suelta un archivo de texto llamado ! KUPIDON_DECRYPT.txt que refleja la información del rescate. Para recuperar sus archivos, debe tomar una decisión muy dura: pagar 1200 $ (para usuarios comerciales) o 300 $ (para usuarios normales) en BTC, que no es asequible para muchas personas. Para finalizar el pago, se le pide que abra el enlace adjunto en el navegador Tor y siga las instrucciones en pantalla. En cualquier caso, es arriesgado confiar en los ciberdelincuentes y pagar un rescate, especialmente cuando excede todos los límites. Kupidon Ransomware también utiliza un truco astuto: permite a los usuarios descifrar hasta 3 archivos (no más de 10 MB) enviándolos a su correo electrónico.

Avadón es una infección de tipo ransomware descubierta por GrujaRS. Refuerza su cifrado con algoritmos AES y RSA para que los usuarios habituales no puedan desbloquear sus datos. Los archivos afectados se modificarán con el .avdn extensión que se asigna al final. Por ejemplo, un archivo como 1.mp4 experimentará un cambio inmediato después del cifrado para 1.mp4.avdn. Este cambio hace que el archivo sea inaccesible y requiere pagar un rescate para descifrarlo. Las instrucciones sobre cómo hacerlo se presentan en un archivo HTML ("[números_aleatorios] -readme.html") que se genera una vez finalizado el proceso de cifrado.

HR es un programa malicioso categorizado como ransomware que infecta a los usuarios a través de servidores NAS. De hecho, el ransomware se crea para ganar dinero encriptando datos y exigiendo un rescate. Al igual que otro malware de cifrado de archivos, HR bloquea varios archivos y asigna .hora extensión. A partir de entonces, el virus suelta un archivo de texto (RANSOM_NOTA.txt) en su escritorio para notificar que sus datos han sido encriptados. También muestra una lista de pasos que debe seguir para restaurar archivos. La siguiente información dice que debe comprar una clave especial que cuesta 0.1130 BTC (1030 $). Una vez que se completa el pago, se le solicita que les envíe su número de identificación a través del correo electrónico adjunto para verificar si ha realizado el pago o no. Además, los extorsionistas afirman que el uso de herramientas de descifrado de terceros es inútil, ya que son obsoletas y no pueden manejar cifrados generados por su ransomware. Intentan convencerte de que no te engañarán y devolverán tus archivos de forma segura.