Ransomware

Velar es un tipo de malware clasificado como ransomware. El ransomware es una categoría de software malicioso que opera encriptando datos y extorsionando a los usuarios mediante técnicas de rescate. Durante el proceso de cifrado, todos los archivos se configuran y obtienen nuevas extensiones. Por ejemplo, el archivo no infectado llamado 1.mp4 será renombrado a 1.mp4.Velar y restablecer su icono predeterminado. A partir de entonces, a los usuarios se les presenta un archivo de texto que muestra la información del rescate. La nota de rescate se llama readme.txt. Afirma que su sistema fue infectado por ransomware que cifró una gran cantidad de archivos utilizando un esquema de cifrado híbrido. Para restaurar los datos bloqueados, los extorsionistas le piden que se comunique con ellos a través de uno de los correos electrónicos y adjunte su identificación personal que aparece en la nota. Desafortunadamente, la única opción para acceder a sus archivos es comprar una clave de descifrado en poder de los ciberdelincuentes porque ninguno de los software de terceros puede descifrar los datos infectados. Sin embargo, no se recomienda seguir las instrucciones de fraudes y pagar un rescate porque la mayoría de las personas se engañan y el problema sigue sin resolverse.

Si ya no puede acceder a sus archivos, esto se debe a que el ransomware infectó su sistema. SD (Unlock11) Ransomware no es una excepción, ya que cifra los datos de los usuarios con el algoritmo RSA + Salsa20 y agrega nuevos . [unlock11@protonmail.com] .enc extensión para cada archivo. Como ejemplo, estándar 1.mp4 será renombrado a 1.mp4. [Unlock11@protonmail.com] .enc una vez finalizado el proceso de cifrado. Es necesario señalar que .enc La extensión es más genérica y ha sido explotada por varios tipos de ransomware, incluidos MOTD, TrueCrypter y Cryptohasyou. Después del cifrado exitoso, el programa abre automáticamente una nota de rescate Léame para descifrar.txt, que contiene los detalles sobre cómo descifrar sus datos. Algunas versiones de SD reemplazan el papel tapiz del escritorio para mostrar la información del rescate. En ambos casos, para desbloquear los archivos afectados, los usuarios deben comunicarse con los ciberdelincuentes a través de desbloquear11@protonmail.com. También puede adjuntar 3 archivos (menos de 5 MB) para que los estafadores puedan demostrar que pueden confiar en ellos. Después de enviar un mensaje, presumiblemente se le pedirá que pague una suma específica para desbloquear sus datos. Además, le darán recomendaciones sobre cómo protegerse de futuros ataques. Desafortunadamente, no hay otra opción en este momento para descifrar archivos configurados por SD Ransomware sin pagar el rescate y obtener las claves privadas.

Al ser parte de la familia Dharma, Dharma-Harma es un programa de ransomware basado en algoritmos AES-256 + RSA que están destinados a cifrar los datos del usuario. Una vez que el virus se instala en el sistema, bloquea varios archivos colocando cifrados irrompibles. Una vez encriptados, los archivos sufren un par de cambios importantes. En primer lugar, los archivos afectados se modifican de acuerdo con dicho patrón: nombre_archivo_original. {secuencia-alfanumérica-aleatoria-de-8-dígitos}. [dirección-de-correo-electrónico] .harma. Tenga en cuenta que el correo electrónico de los ciberdelincuentes puede variar de una persona a otra. Una vez finalizada la encriptación, Dharma-Harma genera un archivo de texto o una imagen que contiene información sobre el rescate. Dice que su computadora está desprotegida y necesita ser reparada. Para restaurar los archivos perdidos, debe contactarlos a través del correo electrónico adjunto. Después de eso, supuestamente darán más instrucciones y exigirán un pago en BTC. Desafortunadamente, las víctimas que decidieron pagar un rescate, a menudo se dejan engañar y no obtienen ninguna clave de descifrado.

Ouroboros Ransomware (también conocido como Zeropadypt ransomware) es un virus extremadamente peligroso que encripta y bloquea a la fuerza el acceso a los datos personales. Al hacerlo, los desarrolladores de Ransomware piden a los usuarios que paguen un rescate (alrededor de 1000 $) por obtener una clave de descifrado única. Al infiltrarse en el dispositivo, inmediatamente comienza a revisar archivos como imágenes, videos, música, documentos de texto y otros datos valiosos que se pueden almacenar en su computadora y los cifra mediante el algoritmo de cifrado AES-256. Después de eso, el ransomware asigna un único .odveta extensión a cada archivo, por lo que es imposible abrir. Por ejemplo, si muestra.mp4 se cifra, cambiará el nombre del archivo a muestra.mp4.odveta. Hay muchas otras versiones y variaciones de Ouroboros Ransomware, que cambian las extensiones de archivo a .bitdefender, .harma, .rx99, .Lázaro, .Lazarus +, .Jaime, .lol, .ayuda oculta, .angus, .limboo .KRONOS. Algunas de las extensiones recientes, como .bitdefender, se crearon como una burla, porque BitDefender lanzó una herramienta de descifrado que, desafortunadamente, no puede decodificar las últimas especies de Ouroboros Ransomware.

Ech0raix aka QNAPCrypt es un tipo de malware clasificado como ransomware que utiliza métodos poco comunes para penetrar y cifrar los datos del usuario. Además de la infección típica del sistema, también se propaga a través de dispositivos de red física como NAS Synology o QNAP que están destinados a garantizar conexiones a Internet de alta calidad. Después de colarse en el sistema, los intrusos obtienen acceso a su cuenta de "administrador" haciendo coincidir la contraseña (si está configurada) y comienzan a cifrar los archivos vulnerables como resultado. A diferencia de otros ransomware, se infiltra en los dispositivos de red al violar su configuración, lo que provoca un mal funcionamiento. Consecutivamente, los usuarios se ven obligados a actualizar su software o solicitar ayuda profesional. Por supuesto, igualmente medusalocker or Ouroboros, involucra algoritmos AES-256 para bloquear los datos como imágenes, videos, documentos de oficina y otros al asignar .cifrar extensión a cada archivo para que se vea así 1.mp4.cifrar. Una vez hecho esto, los usuarios ya no pueden acceder a sus datos y se ven obligados a continuar con la nota de rescate que se crea después del cifrado.

Zeótico es un ransomware de cifrado de archivos que restringe el acceso a sus datos personales (imágenes, videos, archivos de texto, archivos de audio, etc.) al cifrar los archivos con .zeoticus @ tutanota.com.zeoticus extensión. Cubre todas las versiones de Windows que involucran Windows 7, Windows 8.1 y Windows 10. Y una vez que se inicia en su computadora, pasará rápidamente por las carpetas de su computadora escaneando un cierto grupo de archivos para cifrar. Se enfoca principalmente en buscar archivos únicamente con extensiones como .doc, .docx, .pdf y otras. Cuando se detectan estos archivos, cambian instantáneamente el nombre de su extensión a .zeoticus @ tutanota.com.zeoticus simultáneamente rompiendo todas las instantáneas de volumen que se generaron en su PC para que ya no pueda abrirlas. La única forma posible parece ser haciendo un rescate que a menudo varía de 500 a 1000 dólares y eso es más que mucho. ¡Así que no caigas en esta trampa! Incluso si paga esta cantidad de dinero, no hay garantía de que el fraude le devuelva el acceso. Es solo cuestión de adivinar.

Mucho amor es otro ejemplo de virus de cifrado de archivos clasificados como ransomware. Después de la instalación, cifra sin piedad varios archivos como MS Office, PDF, música, imágenes, videos y otros. Los usuarios quedan totalmente impactados una vez que se dan cuenta de que sus datos se vuelven inaccesibles al intentar restaurarlos desesperadamente. Por lo general, el descifrado requiere la ayuda de herramientas de terceros, ya que todos los intentos manuales son inútiles. Además, los datos cifrados adquieren una nueva extensión que es .encriptado, en nuestro caso. Para ilustrar, el valor predeterminado 1.mp4 será cambiado a 1.mp4.cifrado y restablezca su icono. Tenga en cuenta que la extensión ".encrypted" es más genérica ya que es utilizada por varios desarrolladores. Esto hace que sea un poco más difícil combinar las medidas adecuadas para combatir el programa porque no puede identificar exactamente qué virus atacó su PC. Aunque, luego podemos comprenderlo de acuerdo con el contenido de la nota de rescate (LEER_ES.txt) que se crea después del cifrado.

Cifrado de datos y posible amenaza de identidad: todos estos pueden describirse como Dharma-Ncov ransomware. Al ser parte de la familia Dharma, bloquea enérgicamente los archivos almacenados en las PC de las víctimas y las obliga a pagar un rescate para recuperar los archivos. Dharma-Ncov apunta a múltiples formatos de archivo (por ejemplo, imágenes, videos, música, documentos de oficina) que supuestamente constituyen un gran valor para los usuarios habituales. Cifra los datos asignando una identificación única (adjunta a cada víctima), una dirección de correo electrónico y una extensión al final. Por ejemplo, el original 1.mp4 será cambiado a 1.mp4.id-1E857D00.[coronavirus@qq.com].ncov y restablecer su icono como resultado. La dirección de correo electrónico y otros detalles pueden variar ya que los desarrolladores actualizan su virus eliminando diferentes errores. Después de un cifrado exitoso, el programa coloca un archivo de texto en un escritorio con información de rescate. Luego, los extorsionistas dicen que debe enviar un mensaje con la identificación adjunta a coronavirus@qq.com (u otro) para obtener más instrucciones. También le informan que cualquier intento de descifrar los archivos es inútil y puede resultar en una pérdida permanente. Desafortunadamente, esto es cierto porque la mayoría de los ransomware utilizan algoritmos difíciles de descifrar que hacen que los archivos sean irrecuperables incluso con utilidades de alta tecnología.