Los virus

Weon Ransomware es una de las versiones más recientes desarrolladas por el STOP (Djvu) familia. Se detectó por primera vez a fines de mayo de 2023. Este ransomware se dirige a varios tipos de datos personales (por ejemplo, imágenes, videos, documentos, etc.) utilizando claves en línea generadas aleatoriamente para cada víctima. Una vez que se aplican y los datos se cifran, los usuarios ya no pueden acceder a ellos ni interactuar con ellos. Durante el proceso de cifrado, todos los archivos se asignan con .weon extensión. Esto significa que los archivos cambiarán su nombre y restablecerán sus iconos. Por ejemplo, un archivo como 1.pdf será cambiado a 1.pdf.weon y pierde su icono inicial al final del cifrado. Luego, al igual que otras versiones recientes de la familia STOP (Djvu), Weon crea una nota de texto llamada _readme.txt que contiene instrucciones de descifrado. No importa cuál se colocó en su PC, todos muestran la misma información.

Jigsaw Ransomware es una familia ampliamente difundida de ransomware. El ransomware está diseñado para cifrar archivos en la computadora de la víctima, haciéndolos inaccesibles y luego exige el pago de un rescate a cambio de la clave de descifrado necesaria para restaurar los archivos. Jigsaw Ransomware llamó la atención en abril de 2016 cuando se descubrió por primera vez. Lleva el nombre del personaje icónico de la película "Saw" debido al uso de una imagen del personaje como logotipo. Jigsaw Ransomware se dirige a los sistemas basados ​​en Windows y se propaga a través de varios métodos, como archivos adjuntos de correo electrónico maliciosos, descargas infectadas o kits de explotación. Una vez que una computadora está infectada con Jigsaw Ransomware, comienza a cifrar archivos en el sistema, incluidos documentos, imágenes, videos y otros datos importantes. Luego muestra una nota de rescate en la pantalla de la víctima, exigiendo un pago, generalmente en Bitcoin, dentro de un período de tiempo específico. Si la víctima no paga el rescate dentro del tiempo dado, Jigsaw Ransomware amenaza con eliminar una parte de los archivos cifrados como forma de castigo. También muestra un temporizador de cuenta regresiva, lo que agrega un elemento psicológico de urgencia.

Alphaware Ransomware, un software malicioso, emplea una combinación sofisticada de algoritmos para cifrar los datos valiosos de sus víctimas. Al cifrar con éxito los archivos, este ransomware revela su nombre original, Alphaware, en una nota, mientras que el archivo asociado en sí está etiquetado como Alphaware.exe. Los perpetradores detrás de esta insidiosa amenaza se identifican como el grupo Alpha de piratas informáticos. Su modus operandi implica exigir un rescate de $ 300 en BTC (Bitcoin) a cambio de la clave de descifrado, que es necesaria para restaurar los archivos comprometidos a su estado original. Alphaware Ransomware, que apareció por primera vez a mediados de mayo de 2023, está dirigido principalmente a usuarios de habla inglesa, pero tiene el potencial de infectar sistemas en todo el mundo. Los archivos infectados sufren una transformación en sus convenciones de nomenclatura o codificación, acompañada de la adición de la .Alphaware extensión. La demanda de rescate se entrega a través de un archivo llamado readme.txt.

Nueva generación de STOP Ransomware (Djvu Ransomware) comenzó a agregar .vatq extensiones a archivos cifrados desde finales de mayo de 2023. Le recordamos que Vatq Ransomware pertenece a una familia de criptovirus que extorsionan dinero a cambio de descifrar datos. Los últimos ejemplos de STOP Ransomware a veces se clasifican como Djvu Ransomware, ya que utilizan plantillas casi idénticas de notas de rescate desde principios de 2019, cuando .djvu se agregaron extensiones. Vatq Ransomware usa las mismas direcciones de correo electrónico, utilizadas en las últimas docenas de versiones: support@freshmail.top y datarestorehelp@airmail.cc. El descifrado completo solo es posible en el 1-2% de los casos cuando se utilizó la clave de cifrado fuera de línea (mediante STOP Djvu Decryptor). En otros casos, utilice las instrucciones y herramientas que se ofrecen en este artículo. Vatq Ransomware crea _readme.txt archivo de nota de rescate, que se ve casi igual.

FAST Ransomware es un tipo de malware que nuestro equipo de investigación descubrió recientemente mientras investigaba envíos en el sitio web de VirusTotal. Este programa malicioso en particular está clasificado como ransomware, lo que significa que está diseñado para cifrar datos en la computadora de la víctima y exigir un rescate a cambio de su descifrado. Cuando probamos el ransomware en nuestra propia máquina, observamos que cifraba archivos y modificaba sus nombres de archivo. Los títulos de los archivos originales se modificaron agregando la dirección de correo electrónico de los ciberdelincuentes, una identificación de víctima única y el .FAST extensión. Por ejemplo, un archivo llamado sample.pdf aparecería como sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST después del cifrado. Después de completar el proceso de encriptación, el ransomware FAST dejó caer una nota de rescate titulada #FILEENCRYPTED.txt en el escritorio de la víctima.

EXISC es una forma de malware conocida como ransomware que nos llamó la atención durante nuestra investigación. Su objetivo principal es cifrar datos y exigir el pago a cambio de la clave de descifrado. Al ejecutar una muestra de este ransomware en nuestro sistema de prueba, observamos que cifraba archivos y añadía el .EXISC extensión a sus nombres de archivo originales. Por ejemplo, un archivo llamado sample.pdf aparecería como sample.pdf.EXISC. El ransomware también creó una nota de rescate titulada Please Contact Us To Restore.txt. Según el mensaje contenido en la nota, se hizo evidente que EXISC se dirige principalmente a grandes organizaciones en lugar de usuarios domésticos individuales. Las víctimas a menudo no reciben las claves o el software de descifrado prometidos, incluso después de cumplir con las demandas de rescate. Por lo tanto, desaconsejamos encarecidamente pagar el rescate, ya que no garantiza la recuperación de datos y solo perpetúa las actividades delictivas.

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) es un extorsionista de virus de cifrado de archivos muy extendido. Este es uno de los ransomware más peligrosos con un alto efecto dañino y una alta tasa de prevalencia. Utiliza el algoritmo de cifrado AES-256 en modo CFB con cero IV y una única clave de 32 bytes para todos los archivos. Se cifra un máximo de 0x500000 bytes (~ 5 Mb) de datos al principio de cada archivo. El virus se agrega .vaze extensiones a archivos codificados. La infección afecta a archivos importantes y valiosos. Estos son documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, videos, archivos de imágenes, archivos comprimidos, archivos de aplicaciones, etc. Djvu Ransomware no cifra los archivos del sistema, para asegurarse de que Windows funcione correctamente y los usuarios puedan navegue por Internet, visite la página de pago y pague el rescate. Vaze Ransomware crea _readme.txt archivo, que se llama "nota de rescate" y contiene instrucciones para realizar el pago y datos de contacto. El virus lo coloca en el escritorio y en las carpetas con archivos encriptados. Los desarrolladores ofrecen los siguientes datos de contacto: support@freshmail.top y datarestorehelp@airmail.cc.

Desastroso virus conocido como STOP Ransomware, en particular, su última variación Vapo Ransomware no se relaja y continúa su actividad maliciosa incluso durante el pico de la pandemia de coronavirus humano real. Los piratas informáticos lanzan nuevas variaciones cada 3-4 días, y todavía es difícil prevenir la infección y recuperarse de ella. Las versiones recientes tienen extensiones modificadas, que se agregan al final de los archivos afectados, ahora son: .vapo. Aunque hay herramientas de descifrado de Emsisoft disponibles para versiones anteriores, las más nuevas generalmente no se pueden descifrar. Los procesos de penetración, infección y encriptación siguen siendo los mismos: las campañas de publicidad maliciosa de spam, las descargas de igual a igual, la falta de atención del usuario y la falta de protección decente conducen a una pérdida severa de datos después de la encriptación usando algoritmos AES-256 fuertes. Después de terminar su actividad devastadora, Vapo Ransomware deja el archivo de texto: una nota de rescate, llamada _readme.txt, de lo que podemos aprender, que el descifrado cuesta entre $490 y $980, y es imposible sin una determinada clave de descifrado.