Los virus

StripedFly es una plataforma de malware multiplataforma altamente sofisticada que ha infectado más de un millón de sistemas Windows y Linux en un lapso de cinco años. Inicialmente fue clasificado erróneamente como un minero de criptomonedas Monero, pero una investigación más profunda reveló su verdadera naturaleza como un malware de amenaza persistente avanzada (APT). StripeFly es un marco modular que puede apuntar a sistemas Windows y Linux. Tiene un túnel de red Tor incorporado para comunicarse con su servidor de comando y control (C&C) y utiliza servicios confiables como Bitbucket, GitLab y GitHub para mecanismos de actualización y entrega. El malware opera como un ejecutable binario monolítico con módulos conectables, lo que le otorga versatilidad operativa a menudo asociada con las operaciones APT. Estos módulos incluyen almacenamiento de configuración, actualización/desinstalación, proxy inverso, controlador de comandos varios, recolector de credenciales, tareas repetibles, módulo de reconocimiento, infector SSH, infector SMBv1 y un módulo de minería Monero. La presencia del criptominero Monero se considera un intento de desvío, siendo los objetivos principales de los actores de la amenaza el robo de datos y la explotación del sistema facilitada por los otros módulos.

Jarjets es un tipo de ransomware, un software malicioso diseñado para bloquear el acceso a un sistema informático o a archivos hasta que se pague una suma de dinero. Fue descubierto durante una investigación de rutina sobre el envío de nuevos archivos al sitio VirusTotal. Una vez que el ransomware Jarjets infecta un sistema, cifra los archivos y cambia sus nombres. Los títulos originales van acompañados de un .Jarjets extensión. Por ejemplo, un archivo llamado 1.jpg aparecería como 1.jpg.Jarjets, 2.png as 2.png.Jarjets, etcétera. El algoritmo de cifrado específico utilizado por Jarjets no se menciona explícitamente en los resultados de la búsqueda, pero el ransomware suele utilizar métodos de cifrado complejos, a menudo una combinación de cifrado simétrico y asimétrico. Una vez completado el proceso de cifrado, el ransomware Jarjets crea una nota de rescate titulada Jarjets_ReadMe.txt. Este archivo de texto informa a la víctima que sus archivos han sido cifrados y la insta a ponerse en contacto con los ciberdelincuentes.

BlackDream Ransomware es un tipo de malware que cifra datos en la computadora de una víctima y exige un pago por descifrarlos. Fue descubierto por investigadores mientras investigaban nuevos envíos de malware a VirusTotal. El ransomware añade una identificación única, la dirección de correo electrónico de los ciberdelincuentes y el .BlackDream extensión a los nombres de archivos de archivos cifrados. Por ejemplo, un archivo inicialmente llamado 1.jpg aparecería como 1.jpg.[G7H9L6ZA].[Blackdream01@zohomail.eu].BlackDream. Una vez completado el proceso de cifrado, aparecerá una nota de rescate titulada ReadME-Decrypt.txt se deja caer. BlackDream ransomware utiliza un método de cifrado de archivos no especificado. La nota asegura a la víctima que sus archivos no han sido dañados sino que han sido cifrados. Advierte que buscar ayuda para la recuperación fuera de los atacantes (es decir, utilizar herramientas o servicios de terceros) puede hacer que los datos no se puedan descifrar. La nota implica que el descifrado requerirá el pago de un rescate en la criptomoneda Bitcoin, aunque no se especifica la suma exacta.

Lumar Stealer es un malware ligero de tipo ladrón escrito en el lenguaje de programación C. Está diseñado para robar información como cookies de Internet, contraseñas almacenadas y carteras de criptomonedas. Se observó por primera vez que Lumar se promocionaba en foros de piratas informáticos en julio de 2023. El malware se infiltra en los sistemas y comienza a recopilar datos relevantes del dispositivo, como el nombre del dispositivo, la CPU, la RAM y la distribución del teclado. Se dirige principalmente a la información almacenada en los navegadores, extrayendo cookies de Internet y credenciales de inicio de sesión (nombres de usuario, identificaciones, direcciones de correo electrónico, contraseñas, frases de contraseña, etc.). También apunta a sesiones de Telegram Messenger y recopila información relacionada con billeteras de criptomonedas. Lumar tiene capacidades de captura, lo que significa que puede descargar archivos desde los escritorios de las víctimas. Los formatos de interés incluyen DOC, TXT, XLS, RDP y JPG. Si sospecha que su computadora está infectada con Lumar Stealer, se recomienda encarecidamente utilizar un software antivirus confiable para realizar análisis regulares del sistema y eliminar amenazas y problemas detectados.

Zput es un tipo de ransomware que pertenece a la familia de ransomware Djvu. Es un programa malicioso diseñado para cifrar archivos y exigir rescates por descifrarlos. El ransomware Zput se dirige a varios tipos de archivos, como vídeos, fotos, documentos y más. Altera la estructura del archivo y agrega el .zput extensión a cada archivo, haciéndolos inaccesibles e inutilizables sin descifrarlos. Por ejemplo, un archivo inicialmente llamado 1.jpg aparece como 1.jpg.zput, 2.png, ya que 2.png.zput, etcétera. Zput Ransomware utiliza algoritmos de cifrado Salsa20 para codificar el contenido de los archivos de destino. Este sólido método de cifrado hace que sea bastante difícil, si no imposible, elegir la clave de descifrado sin cooperar con los atacantes. Después de cifrar los archivos, Zput ransomware lanza una nota de rescate titulada _readme.txt. Esta nota informa a la víctima que sus datos han sido cifrados y que para recuperar los archivos bloqueados es necesario cumplir con las demandas de los atacantes: pagar un rescate para obtener la clave/software de descifrado.

Zpww Ransomware es un tipo de malware que pertenece a la familia STOP/Djvu. Su objetivo principal es extorsionar a las víctimas cifrando sus archivos y exigiendo un rescate por descifrarlos. El rescate suele oscilar entre 490 y 980 dólares, pagadero en Bitcoins. Tras una infiltración exitosa, Zpww Ransomware escanea cada carpeta en busca de archivos que pueda cifrar. Luego crea una copia del archivo de destino, elimina el original, cifra la copia y la deja en lugar del original eliminado. Los archivos cifrados se añaden con la extensión específica .zpww. El ransomware utiliza el algoritmo de cifrado Salsa20, que, aunque no es el método más potente, proporciona una abrumadora cantidad de posibles claves de descifrado. Después del proceso de cifrado, Zpww Ransomware crea una nota de rescate llamada _readme.txt en la carpeta donde se encuentra el archivo cifrado.

Zpas es una infección de ransomware de cifrado de archivos que pertenece a la familia de ransomware STOP/DJVU. Restringe el acceso a datos como documentos, imágenes y vídeos cifrando archivos con el .zpas extensión. Luego, el ransomware intenta extorsionar a las víctimas pidiendo un "rescate", generalmente en forma de criptomoneda Bitcoin, a cambio de acceso a los datos. Cuando una computadora está infectada con el ransomware Zpas, escanea el sistema en busca de imágenes, videos y documentos y archivos de productividad importantes como .doc, .docx, .xls, .pdf. Cuando se detectan estos archivos, el ransomware los cifra y cambia su extensión, haciéndolos inaccesibles. El ransomware Zpas utiliza un cifrado robusto, Salsa20, que es imposible de "piratear". Una vez que el ransomware Zpas ha cifrado los archivos en una computadora, muestra una nota de rescate llamada _readme.txt en el escritorio. La nota de rescate contiene instrucciones sobre cómo contactar a los autores de este ransomware a través de las direcciones de correo electrónico support@fishmail.top y datarestorehelp@airmail.cc. Se pide a las víctimas de este ransomware que se pongan en contacto con estos desarrolladores de malware. El rescate exigido oscila entre 490 y 980 dólares (en Bitcoins).

Halo Ransomware es un tipo de malware diseñado para cifrar datos y exigir rescates por descifrarlos. Se añade el .halo extensión a los nombres de archivos de archivos cifrados. Por ejemplo, un archivo inicialmente titulado 1.jpg aparecería como 1.jpg.halo. Después de cifrar los archivos, Halo Ransomware crea un mensaje que exige un rescate llamado !_INFO.txt. La nota afirma que los archivos de la víctima han sido cifrados y sólo pueden recuperarse pagando un rescate. La nota advierte contra apagar el sistema, cambiar el nombre de los archivos, intentar descifrarlos manualmente o utilizar herramientas de recuperación de terceros, ya que estas acciones pueden hacer que los datos no se puedan descifrar. Se desconoce el algoritmo de cifrado de archivos específico utilizado por Halo Ransomware. Sin embargo, los programas de ransomware suelen utilizar algoritmos criptográficos simétricos o asimétricos para cifrar archivos.