Tutoriales

Qilra Ransomware representa una formidable amenaza cibernética, cifrando los archivos de las víctimas y añadiendo el distintivo .qilra extensión. Al ejecutarse, se infiltra sigilosamente en el sistema, escaneando en busca de datos confidenciales antes de iniciar su rutina de cifrado. Aunque sus desarrolladores no revelan públicamente el método de cifrado preciso, este tipo de ransomware suele implementar algoritmos criptográficos robustos como AES o RSA, lo que hace casi imposible el descifrado no autorizado sin la clave de descifrado única que poseen los atacantes. Tras cifrar los archivos, genera una nota de rescate llamada RESTORE-MY-FILES.TXT, colocándola estratégicamente en el escritorio de la víctima. Esta nota informa al usuario del cifrado y exige un rescate para recuperar los archivos, a menudo incitando a la víctima a contactar a los atacantes a través de una dirección de correo electrónico proporcionada.

CrypteVex Ransomware es un programa de software malicioso clasificado como ransomware, diseñado principalmente para cifrar datos valiosos en un sistema objetivo y posteriormente exigir un rescate a cambio de una clave de descifrado. Al infiltrarse en un ordenador, cifra sistemáticamente los archivos, haciéndolos inaccesibles, y añade a cada nombre de archivo un .cryptevex extensión, que indica su estado comprometido. Por ejemplo, un archivo llamado document.txt se convertiría document.txt.cryptevex tras la infección. Mediante robustos algoritmos criptográficos, a menudo una combinación de cifrado simétrico y asimétrico, CrypteVex garantiza que, sin la clave de descifrado, descifrar los archivos bloqueados sea prácticamente imposible para el usuario promedio. Las víctimas suelen recibir una nota de rescate, que se pega como fondo de escritorio y se guarda como un archivo HTML llamado README.html en varios directorios. Este mensaje advierte ominosamente a los usuarios sobre sus archivos cifrados, instándolos a comprar una herramienta de descifrado a los atacantes dentro de un plazo determinado, con amenazas de duplicar el rescate si la demora supera los dos días.

Forgive Ransomware es un tipo de malware que cifra los archivos en un sistema infectado, haciéndolos inaccesibles hasta que se pague un rescate. Una vez ejecutado, ataca diversos tipos de archivos y añade el .forgive extensión a cada uno, haciéndolo fácilmente identificable y al mismo tiempo alterando la estructura de archivos del usuario al alterar los nombres de archivo como picture.jpg a picture.jpg.forgiveMediante algoritmos de cifrado avanzados, el ransomware garantiza que los archivos no se puedan abrir ni usar sin la clave de descifrado, que solo poseen los atacantes. Un componente importante de este ransomware es su nota de rescate, que deja en forma de ventana emergente titulada ransom_note.txtEsta nota aparece en el escritorio del usuario, exigiendo el pago de 500 $ en Ethereum a una dirección de billetera específica, con la promesa de proporcionar a cambio una clave de descifrado. Normalmente, pagar el rescate no garantiza la recuperación de los archivos, ya que las víctimas suelen descubrir que los ciberdelincuentes no envían las claves de descifrado necesarias, incluso después del pago.

Descubierto por nuestro equipo de investigadores, Hudson Ransomware es un software malicioso que cifra archivos en sistemas infectados y exige un rescate para descifrarlos. Este ransomware añade a los nombres de archivo la extensión .{ID de la víctima}.hudson, lo que hace que los archivos sean inaccesibles sin la clave de descifrado, que se proporciona solo tras el pago. Las víctimas suelen notar sus archivos, una vez que se les asigna un nombre como example.docx, apareciendo como example.docx.{victim's_ID}.hudsonLos métodos de cifrado empleados por el ransomware Hudson son altamente sofisticados, probablemente combinando algoritmos asimétricos y simétricos para garantizar que el descifrado sea imposible sin la clave privada única. Tras el cifrado, el ransomware Hudson deja una nota de rescate llamada README.TXT En el dispositivo infectado. Este archivo contiene instrucciones sobre cómo recuperar los datos cifrados, y generalmente advierte a los usuarios que no cambien el nombre de los archivos ni intenten descifrarlos con terceros, ya que estas acciones podrían provocar la pérdida permanente de datos.

El archivo "ntkrnlmp.exe", abreviatura de NT Kernel Multi-Processor version, es un componente fundamental del kernel del sistema operativo Windows. Está diseñado específicamente para administrar la memoria del sistema y las operaciones del procesador, especialmente en sistemas con múltiples núcleos. Cuando aparezca un mensaje de error de pantalla azul (BSoD) que indique... ntkrnlmp.exeEsto indica un fallo crítico en el núcleo de Windows, que obliga al sistema a detenerse para evitar posibles daños. Este error no se debe a que el archivo en sí sea malicioso, sino a que algo más ha causado un fallo en este proceso principal. Entre los culpables comunes se incluyen controladores de dispositivos dañados o incompatibles, en particular controladores de gráficos, red o chipset, que interactúan estrechamente con el núcleo. Los módulos de RAM defectuosos también pueden desencadenar este error, ya que la corrupción de memoria afecta directamente a las operaciones del núcleo. Además, archivos esenciales del sistema de Windows dañados, el sobrecalentamiento de componentes como la CPU o la GPU que provoca inestabilidad, configuraciones de overclocking agresivas que superan los límites del hardware, errores del disco duro o incluso infecciones de malware que interfieren con los procesos del sistema pueden provocar una pantalla azul de la muerte (BSOD) de ntkrnlmp.exe. Identificar la causa exacta suele requerir una resolución de problemas sistemática debido a las diversas fuentes potenciales del problema. Este error puede manifestarse bajo diferentes códigos de detención, como KERNEL_MODE_HEAP_CORRUPTION, PAGE_FAULT_IN_NONPAGED_AREA o SYSTEM_SERVICE_EXCEPTION, lo que resalta aún más su conexión con las funciones principales del sistema.

Hero Ransomware es un programa malicioso perteneciente a la familia de ransomware Proton, diseñado para cifrar archivos de usuario y exigir un rescate para descifrarlos. Durante un ataque, añade archivos infectados con la extensión .hero77, que también incluye la dirección de correo electrónico del atacante. Por ejemplo, un archivo llamado document.docx sería renombrado a document.docx.[hero77@cock.li].hero77. Este proceso de cifrado es sofisticado, ya que emplea potentes algoritmos criptográficos difíciles de descifrar sin la clave de descifrado, que se genera de forma única para cada víctima. Una vez completado el cifrado, el ransomware muestra una nota de rescate en un archivo de texto llamado #Read-for-recovery.txtAdemás de modificar el fondo de pantalla del escritorio, se incluyen instrucciones para contactar al atacante. La nota carece de detalles específicos sobre el cifrado o las exigencias de rescate, y solo proporciona direcciones de correo electrónico de contacto.

PayForRepair Ransomware es un programa malicioso que forma parte de la conocida familia de ransomware Dharma. Diseñado para cifrar los datos del usuario y exigir un rescate para descifrarlos, añade una extensión de archivo distintiva .P4R, a archivos cifrados. Además, incluye un ID único de la víctima y la dirección de correo electrónico del atacante en el nombre de cada archivo comprometido. Por ejemplo, un archivo original llamado document.docx sería renombrado a document.docx.id-[uniqueID].[attacker's email].P4R. Al utilizar algoritmos de cifrado robustos, típicos del ransomware de gama alta, garantiza que los archivos permanezcan inaccesibles sin descifrarlos. Este malware genera notas de rescate en dos formatos: una ventana emergente y un archivo de texto llamado info.txt. Este último se deposita en todos los directorios afectados. Las instrucciones informan a las víctimas sobre el cifrado y las guían para contactar con los atacantes por correo electrónico para negociar las condiciones de recuperación de los archivos. A pesar de ofrecer descifrar algunos archivos como prueba antes del pago, la nota de rescate advierte a los usuarios que no alteren los archivos cifrados ni utilicen herramientas de descifrado de terceros, citando posibles riesgos de pérdida de datos.

DarkMystic (BlackBit) Ransomware es un software malicioso de la familia de ransomware BlackBit, conocido por cifrar los datos de los usuarios y exigir un pago para descifrarlos. Al infectar un sistema, transforma los nombres de los archivos anteponiendo la dirección de correo electrónico de los atacantes y un ID específico de la víctima, y ​​luego les añade un .darkmystic extensión. Por ejemplo, un archivo llamado image.jpg podría modificarse para que parezca [darkmystic@onionmail.com][123456]image.jpg.darkmystic. Mediante potentes algoritmos criptográficos, generalmente cifrado simétrico o asimétrico, este ransomware hace que los archivos sean inaccesibles sin una clave de descifrado, que los atacantes suelen retener hasta el pago de un rescate, generalmente en Bitcoin. Las víctimas son informadas directamente mediante una nota de rescate generada en varios formatos: una ventana emergente titulada info.hta y un archivo de texto llamado Restore-My-Files.txt, colocados estratégicamente en el escritorio y dentro de carpetas encriptadas.