Ransomware

Locky es un virus ransomware que encripta archivos usando los algoritmos RSA-2048 y AES-1024 y exige 0.5 BTC (bitcoins) (equivalente a $ 207) para recibir "Locky Decrypter" para permitir al usuario desencriptar sus documentos e imágenes. Este es un virus de chantaje muy peligroso y actualmente solo hay algunas formas de descifrar sus archivos. En esta guía, recopilamos toda la información disponible que puede ayudarlo a eliminar el virus ransomware Locky y restaurar los archivos infectados.

RedRum ransomware es una pieza maliciosa que cifra sus datos y exige el pago de un rescate. Una vez que la penetración alcanza el éxito, todos los datos almacenados, incluidas imágenes, videos y archivos de texto, se cifrarán con .redrum or grinch (otra versión de la familia RedRum) extensión. Caso en cuestión, si 1.mp4 fue atacado por este virus, se transformará en 1.mp4.redrum or 1.mp4.grinch. Tan pronto como se complete el cifrado, RedRum soltará un archivo de texto (decryption.txt) con información de rescate. Según la nota proporcionada por RedRum, debe pagar por la clave de descifrado. Para ello, se propone enviarles un mensaje de correo electrónico y obtener más instrucciones. Desafortunadamente, el ransomware es muy terco y no da ningún signo de alivio debido a los sólidos algoritmos que hacen que el proceso de descifrado sea casi imposible. Sin embargo, debe eliminarlo de su PC para proteger otros archivos y aplicar todas las medidas necesarias para que no vuelva a suceder.

Si no puede abrir sus archivos, lo más probable es que sea porque Hakbit ransomware atacó su PC. Los desarrolladores de esta pieza utilizan algoritmos AES para cifrar los datos almacenados (por ejemplo, imágenes, videos, documentos, archivos de texto, etc.). En otras palabras, todo lo que se encuentre en sus discos estará completamente bloqueado. Hay un par de extensiones utilizadas por Hakbit para alterar archivos: .cifrado, .ravack, .parte or .gesd. Ejemplos de archivos cifrados se ven así 1.mp4.criptado, 1.jpg.ravack, 1.doc.parte or 1.xls.gedd. Después de esto, Hakbit suelta un archivo de texto llamado HELP_ME_RECOVER_MIS_ARCHIVOS.txt y fondo de pantalla.bmp, que reemplaza los fondos de escritorio en algunos casos. Ambos contienen información sobre cómo recuperar sus archivos. Para hacerlo, los usuarios deben pagar 300 USD en Bitcoin a través de la dirección adjunta y los creadores del anillo por correo electrónico. Desafortunadamente, comprar software de descifrado es la única forma de descifrar sus datos, ya que ninguna de las herramientas de terceros puede manejarlo. Sin embargo, le recomendamos encarecidamente que no gaste su dinero en esto porque no hay garantía de que se recuperen sus datos.

También conocido como Mimetismo, ShivaGood ransomware no tiene buenas intenciones porque está diseñado para cifrar los datos de los usuarios y exigir el pago de un rescate en bitcoin. Esta pieza maliciosa utiliza algoritmos criptográficos especiales y asigna la extensión ".good" a varios archivos (PDF, documentos, imágenes, videos, etc.). Por ejemplo, 1.mp4 será renombrado a 1.mp4.buenoy de manera similar. Una vez que ShivaGood complete el procedimiento de cifrado, creará un archivo de texto llamado CÓMO_RECOVER_FILES.txt. Esta nota contiene información sobre el cifrado de datos. Para descifrarlo, los extorsionadores le piden que los contacte por correo electrónico y adjunte su identificación personal que también se menciona en la nota. Una vez hecho esto, los fraudes se comunicarán contigo con instrucciones de pago para obtener la clave de descifrado. Además, los ciberdelincuentes proponen desbloquear 3 archivos (menos de 10 MB) de forma gratuita. Este es un truco para demostrar su integridad ya que la realidad puede diferenciar significativamente. Simplemente pueden extorsionar y olvidarse de sus promesas.

Soldado ransomware es una pieza maliciosa que cifra los datos del usuario y gasta su dinero para descifrar archivos. Fue descubierto por primera vez por el investigador de seguridad Amigo-A. Durante el proceso de cifrado, todos los archivos se cambian con el .xsmb extensión que se adjunta al final de un archivo. Por ejemplo, algo como 1.mp4 cambiará su nombre a 1.mp4.xsmb y restablezca su icono. Después de todo, el ransomware genera un archivo de texto (contacto.txt) o imagen (contact.png) en el escritorio de la víctima. Como se indica en estos archivos, los usuarios deben enviar 0.1 BTC o 4 ETH a través de la dirección vinculada. Además, puede enviar hasta 3 archivos a su correo electrónico para el descifrado gratuito. También vale la pena mencionar que Soldier Ransomware parece ser creado y operado por una sola persona como sugiere la nota. Desafortunadamente, Soldier Ransomware es imposible de descifrar sin la participación de ciberdelincuentes.

Roger es otra forma de Dharma familia que encripta datos con cifras irrompibles y exige a las víctimas que paguen un rescate. Cuando se infiltra en su sistema, todos los datos almacenados serán retitulados con la identificación de la víctima, el correo electrónico del ciberdelincuente y roger extensión. Para ilustrar, un archivo como 1.mp4 se actualizará a 1.mp4.id-1E857D00.[helpdecoder@firemail.cc].ROGER". Tenga en cuenta que los ID y los correos electrónicos pueden variar individualmente. Una vez que el virus finaliza el cifrado del archivo, creará un archivo de texto llamado FILES ENCRYPTED.txt en tu escritorio. En esta nota, las personas pueden familiarizarse con los pasos para desbloquear sus datos. Para esto, debe hacer clic en el enlace adjunto en el navegador Tor y se comunicarán con usted en 12 horas para instruirlo sobre la compra de su software de descifrado. Si no es así, debe escribirles utilizando un correo electrónico de respaldo. Desafortunadamente, pagar por el software puede ser una trampa que pondrá en riesgo sus finanzas.

PwndLocker ransomware es un virus de cifrado de archivos creado para dirigirse a redes comerciales y gobiernos locales. Sin embargo, los usuarios habituales también pueden convertirse en víctimas de los ciberdelincuentes. Después de la penetración, PwndLocker daña la configuración de varios servicios de Windows y cifra los datos internos y de la red cambiando las extensiones y creando una nota de rescate. El número de extensiones asignadas puede variar según los formatos de archivo. El virus usa .ProLock, .pwnd or .key extensiones, sin embargo, no tiene ningún sentido cuál alteró sus archivos porque implementan la misma función. Por ejemplo, en algunos casos, el original 1.mp4 se transformará en 1.mp4.ProLock. En otros escenarios, los datos afectados pueden experimentar extensiones ".pwnd" o ".key". La nota de rescate (H0w_T0_Rec0very_Files.txt), que por lo tanto se coloca en el escritorio, sugiere que su red ha sido penetrada y cifrada con algoritmos sólidos.

Phobos es una organización fraudulenta, que ha hecho una fuerte declaración en el mundo del ransomware. Desde 2017, ha acumulado su colección en numerosas variaciones diferentes, las más recientes incluyen Ocho ransomware, Expulsar ransomware, Eking ransomwarey Iso ransomware. Al igual que en otros ransomware, sus desarrolladores decidieron utilizar un proceso de cifrado más tradicional. Escanea su sistema en busca de varios formatos de archivo como documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, imágenes, videos y otros. Una vez hecho esto, se configura para el cifrado de acuerdo con esta fórmula 1.mp4. [ID-random-user-id-number]. [Cybercriminals-e-mail]. {Extension}. Dependiendo de la versión que atacó su computadora, las extensiones pueden variar entre .ocho, .expulsar, .ekingo . Iso. A continuación, se muestran algunos ejemplos de archivos infectados: 1.mp4.id[XXXXXXXX-2776].[use_harrd@protonmail.com].eight; 1.jpg.id[XXXXXXXX-2833].[cynthia-it@protonmail.com].eject; 1.doc.id[XXXXXXXX-2275].[decphob@tuta.io].eking;1.jpg.id[XXXXXXXX-2589].[backup.iso@aol.com].iso. Una vez que se completa el cifrado, se presenta a los usuarios un archivo de texto (info.txt or info.hta) que explica cómo descifrar sus datos.