Los virus

Ahgr Ransomware es un tipo de malware que encripta archivos en la computadora de la víctima y exige un rescate por su liberación. Ahgr es parte de la familia de ransomware Djvu y encripta archivos agregando el .ahgr extensión de sus nombres. El ransomware Ahgr utiliza el algoritmo de cifrado Salsa20, que proporciona una cantidad abrumadora de posibles claves de descifrado, lo que dificulta la fuerza bruta del número de claves de 78 dígitos. Cuando el ransomware Ahgr infecta una computadora, crea una nota de rescate como un archivo de texto llamado _readme.txt en cada carpeta que el ransomware tiene archivos cifrados. La nota asegura a las víctimas que pueden recuperar todos sus archivos y afirma que varios archivos, incluidas imágenes, bases de datos, documentos y otros datos importantes, se han cifrado mediante un cifrado sólido.

Ahui Ransomware es un tipo de malware que encripta archivos en la computadora de la víctima y exige un pago a cambio de la clave de descifrado. es una variante del STOP/Djvu familia de ransomware. El malware agrega .ahui extensión para archivos cifrados. Una vez que el ransomware infecta una computadora, busca datos importantes del usuario, como bases de datos, archivos, hojas de cálculo, imágenes y otros tipos de archivos. Utiliza el algoritmo de encriptación Salsa20, que no es el método más fuerte pero aún proporciona una cantidad abrumadora de posibles claves de desencriptación. Para forzar bruscamente el número de claves de 78 dígitos, necesita 3.5 unvigintillones de años (1*10^65), incluso si utiliza la PC normal más potente. Las computadoras cuánticas pueden mostrar un rendimiento un poco mejor, pero aún no es suficiente para romper el cifrado. Ahui ransomware crea una nota de rescate llamada _readme.txt en cada carpeta donde cifra los archivos.

Ser parte de la STOP/Djvu familia, Neon es un virus de tipo ransomware que bloquea los datos personales. Esta versión se lanzó en los primeros días de junio de 2023. El cifrado se realiza mediante algoritmos de grado militar que generan claves en línea en servidores especiales. Esto garantiza que ninguna herramienta de terceros pueda acceder a las claves para descifrar los archivos. Al igual que otras infecciones de este tipo, Neon cambia los nombres de cada archivo infectado. Lo hace agregando una nueva extensión (.neón) a cada pieza cifrada. Por ejemplo, un archivo como 1.pdf será modificado y cambiará su nombre a 1.pdf.neon después del cifrado. Después de que termina esta etapa del virus, Neon Ransomware crea una nota de texto llamada _readme.txt que contiene instrucciones de descifrado. Varias otras variantes de ransomware desarrolladas por Djvu utilizaron el mismo contenido para las instrucciones de rescate.

CrossLock es un malware peligroso categorizado como ransomware. La actividad de este cripto-ransomware comenzó a mediados de abril de 2023. Según el rescate, no está dirigido a usuarios de habla inglesa, pero puede propagarse por todo el mundo. Este ransomware encripta los datos del usuario usando una combinación de los algoritmos Curve25519 y ChaCha20 y luego exige un rescate en Bitcoins para recuperar los archivos. El nombre original se indica en la nota: CrossLock. El archivo ejecutable detectado es notepad.exe (puede ser otro nombre aleatorio). El malware se escribió en el lenguaje Go. La extensión se agrega a los archivos cifrados: .crlk. CrossLock Ransomware crea una nota de rescate, que se llama ---CrossLock_readme_To_Decrypt---.txt en carpetas con archivos cifrados y en el escritorio. A continuación se muestra el contenido de esta nota.

Neqp es una infección de ransomware que pertenece a la familia Djvu/STOP Ransomware, que apareció en junio de 2023. Esta familia ha lanzado una serie de cifrados de archivos que se dirigen a varios usuarios en todo el mundo. Una vez que el ransomware penetra el sistema, el virus comienza a buscar formatos de archivo potencialmente valiosos y ejecuta el cifrado de datos. Después de que se produzca el cifrado criptográfico, los usuarios ya no podrán acceder ni utilizar sus datos como antes. Puede detectar inmediatamente el cambio mirando los nombres alterados de los archivos. Este ransomware específico asigna el .neqp extensión, haciendo un archivo como 1.pdf cambiar 1.pdf.neqp y restablecer su icono original. Por lo general, Neqp Ransomware y otras versiones modernas de Djvu/STOP generan claves "en línea", lo que significa que es probable que el descifrado completo de los datos sea imposible sin la ayuda de los ciberdelincuentes. Sin embargo, a veces hay excepciones a esto, que se pueden encontrar más abajo.

Al igual que muchas versiones anteriores de este virus, Nerz Ransomware es un programa malicioso desarrollado recientemente por STOP (Djvu) familia ransomware, que ejecuta el cifrado de datos. Una vez que ingresa a su computadora, el virus cubre todos los datos personales con fuertes algoritmos de encriptación, para que ya no pueda acceder a ellos. Desafortunadamente, es imposible evitar que el ransomware bloquee sus datos a menos que tenga un software antimalware especial instalado en su PC. En caso de ausencia, los archivos almacenados en sus discos estarán restringidos y ya no serán accesibles. Una vez finalizado el proceso de encriptación, verá que todos los archivos cambian a 1.pdf.nerz y de manera similar con otros nombres de archivos. Esta versión de STOP ransomware utiliza .nerz extensión para resaltar los datos cifrados. Luego, tan pronto como el ransomware irrumpió en su sistema y puso todos los datos confidenciales bajo un candado, va más allá creando una nota de rescate (_readme.txt).

Hidden Ransomware, una variante de la familia de ransomware Voidcrypt, es un programa malicioso que lleva a cabo sus nefastas actividades cifrando datos y luego exigiendo rescates a cambio de herramientas de descifrado. Como parte del proceso de cifrado, todos los archivos afectados se someten a un proceso de cambio de nombre, adoptando un patrón específico. Los nuevos nombres de archivo incluyen el nombre de archivo original, la dirección de correo electrónico de los delincuentes cibernéticos, una identificación única asignada a las víctimas y el .hidden extensión. Por ejemplo, un archivo llamado 1.pdf se transformaría en algo como 1.pdf.[Wannadecryption@gmail.com][random-sequence].Hidden después del cifrado. Además del cambio de nombre del archivo, el ransomware suelta mensajes de rescate en !INFO.HTA archivos dentro de carpetas comprometidas.

Werz Ransomware (también conocido como STOP Ransomware) es un virus ruinoso, cuyo principio operativo se basa en un fuerte cifrado de archivos y extorsión de dinero. Ha habido más de 700 versiones de este malware, con varias modificaciones importantes y numerosos cambios menores. Los más recientes usan extensiones aleatorias de 4 letras agregadas a los archivos afectados para indicar que están encriptados. Werz apareció a fines de mayo de 2023. Desde el principio, Werz Ransomware ha utilizado el algoritmo de cifrado AES-256 (modo CFB). Dependiendo de la extensión exacta, existen métodos de eliminación y descifrado ligeramente diferentes, pero similares. La variación bajo investigación hoy en día utiliza .werz extensiones. Como sus predecesores, crea una nota de rescate llamada _readme.txt, a continuación se muestra un ejemplo de dicho archivo de texto.