Los virus

IDP.Generic es un nombre de código generalizado utilizado por el software antimalware para etiquetar y, por lo tanto, poner en cuarentena la actividad posiblemente maliciosa. IDP.Generic no está vinculado a ningún archivo específico: su antivirus puede asignar una gran cantidad de archivos diferentes con este componente de detección. En la mayoría de los casos, tales detecciones de IDP.Generic suelen ser falsos positivos y no representan una amenaza real para los usuarios. Un falso positivo es simplemente cuando un software antimalware identifica erróneamente algún archivo inofensivo o legítimo como malicioso y bloquea su funcionamiento o incluso lo elimina por completo. Muchos usuarios informan que se producen marcas falsas con archivos de videojuegos u otro software de terceros. Por lo general, son los motores Avast y AVG los que tienden a detectar IDP.Generic como falsos positivos. En este caso, basta con añadir el archivo a tu lista blanca de antivirus y seguir usando el programa asociado sin problemas. Sin embargo, a pesar de que muchas detecciones como esta no son motivo de preocupación, por supuesto, hay casos en los que los archivos detectados son realmente maliciosos. Asegúrese de que el software/archivo que descargó sea totalmente legítimo y no haya sido descargado de algún recurso no oficial y comprometido.

Qapo Ransomware es un nuevo programa de cifrado de archivos desarrollado y publicado por los autores de STOP/Djvu familia. Casi todas las versiones atribuidas a este grupo de extorsionadores emplean pasos similares para extorsionar a las víctimas. Esta variante en particular se lanzó a mediados de marzo de 2023. Una vez que Qapo ingresa a su PC, ejecuta un escaneo rápido de su sistema para encontrar datos confidenciales. Luego, una vez que se realiza este proceso, el programa malicioso cifra sus datos. Durante esto, todos los archivos se cambian con el .qapo extensión, que aparece al final de cada nombre de archivo. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.qapo, y de manera similar. Una vez que detecte un cambio tan inmediato, ya no podrá acceder a los datos. Para descifrarlo, los ciberdelincuentes instruyen a las víctimas a través de los pasos enumerados dentro de una nota de texto (_readme.txt), que se abre al final del cifrado. Todas las versiones recientes de esta familia de ransomware han utilizado texto idéntico en las notas.

Qazx Ransomware se llama así, debido a .qazx extensión, agregada a los archivos afectados, modificando las extensiones originales de varios tipos de datos confidenciales. Esta versión apareció a mediados de marzo de 2023. De hecho, técnicamente es STOP Ransomware, que utiliza algoritmos de cifrado AES para cifrar los archivos del usuario. Este sufijo es una de las cientos de extensiones diferentes utilizadas por este malware. ¿Significa que perdió sus valiosos datos? No necesariamente. Existen ciertos métodos que le permiten recuperar sus archivos total o parcialmente. Además, existe una utilidad de descifrado gratuita llamada STOP Djvu Decryptor a partir de octubre XNUMX EmsiSoft, que se actualiza constantemente y es capaz de descifrar cientos de tipos de este virus. Después de terminar su actividad desastrosa, Qazx Ransomware crea _readme.txt archivo (nota de rescate), donde informa a los usuarios sobre el hecho del cifrado, la cantidad del rescate y las condiciones de pago.

Si no puede abrir sus archivos y tienen .craa extensión agregada al final de los nombres de archivo, significa que su PC está infectada con Craa Ransomware, la parte de STOP/Djvu Ransomware familia. Este malware atormenta a sus víctimas desde 2017 y ya se ha convertido en el virus de tipo ransomware más extendido de la historia. Infecta miles de computadoras por día utilizando varios métodos de distribución. Utiliza una combinación compleja de algoritmos de cifrado simétricos o asimétricos, elimina los puntos de restauración de Windows, las versiones anteriores de archivos de Windows, las instantáneas y básicamente deja solo 3 posibilidades de recuperación. La primera es pagar el rescate, sin embargo, no hay absolutamente ninguna garantía de que los malhechores devuelvan la clave de descifrado. La segunda posibilidad es muy poco probable, pero vale la pena intentarlo: utilizar una herramienta de descifrado especial de Emsisoft, llamada STOP Djvu Decryptor. Funciona solo bajo una serie de condiciones, que describimos en el siguiente párrafo. El tercero es el uso de programas de recuperación de archivos, que a menudo actúan como una solución para los problemas de infección de ransomware. Observemos el archivo de la nota de rescate (_readme.txt), que el virus coloca en el escritorio y en las carpetas con archivos cifrados.

Esxi (ESXiArgs) Ransomware es una infección maliciosa que se dirige a las organizaciones al explotar vulnerabilidades en VMware ESXi - una herramienta de máquina virtual utilizada para administrar y optimizar varios procesos dentro de las organizaciones. Los informes de seguridad indican que los ciberdelincuentes aprovechan las vulnerabilidades conocidas en VMware ESXi para obtener acceso a los servidores e implementar el ransomware ESXiArgs en el sistema objetivo. Una vez hecho esto, el virus comenzará a buscar para cifrar archivos ubicados en la máquina virtual con las siguientes extensiones: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Para cada archivo cifrado, el ransomware también creará un archivo separado con .ESXiArgs or .args extensión con metadatos dentro (probablemente necesarios para el descifrado futuro).

Siendo sucesor de Djvu Ransomware, Coba es un virus de tipo ransomware que se dirige a datos personales. Al igual que otros programas maliciosos de este tipo, Coba ejecuta el cifrado de datos para exigir un rescate monetario de las víctimas. Se restringirá el acceso a todos los archivos atacados por Coba (incluidas imágenes, bases de datos, documentos, etc.) y también se modificarán visualmente. Por ejemplo, un archivo como 1.pdf cambiará su apariencia a 1.pdf.coba al final del cifrado. Los desarrolladores de esta variante de ransomware aplican la .coba extensión a cada uno de los archivos de destino almacenados en un sistema. Lo siguiente que hace después de manipular las extensiones de datos crea una nota de rescate (_readme.txt) que contiene instrucciones de descifrado. Una vez que los usuarios lo abren, se les presentará un texto escrito por los ciberdelincuentes. Este texto proporciona información sobre cómo devolver los datos cifrados.