Los virus

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) es un extorsionista de virus de cifrado de archivos muy extendido. Este es uno de los ransomware más peligrosos con un alto efecto dañino y una alta tasa de prevalencia. Utiliza el algoritmo de cifrado AES-256 en modo CFB con cero IV y una única clave de 32 bytes para todos los archivos. Se cifra un máximo de 0x500000 bytes (~ 5 Mb) de datos al principio de cada archivo. El virus se agrega .vaze extensiones a archivos codificados. La infección afecta a archivos importantes y valiosos. Estos son documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, videos, archivos de imágenes, archivos comprimidos, archivos de aplicaciones, etc. Djvu Ransomware no cifra los archivos del sistema, para asegurarse de que Windows funcione correctamente y los usuarios puedan navegue por Internet, visite la página de pago y pague el rescate. Vaze Ransomware crea _readme.txt archivo, que se llama "nota de rescate" y contiene instrucciones para realizar el pago y datos de contacto. El virus lo coloca en el escritorio y en las carpetas con archivos encriptados. Los desarrolladores ofrecen los siguientes datos de contacto: support@freshmail.top y datarestorehelp@airmail.cc.

Desastroso virus conocido como STOP Ransomware, en particular, su última variación Vapo Ransomware no se relaja y continúa su actividad maliciosa incluso durante el pico de la pandemia de coronavirus humano real. Los piratas informáticos lanzan nuevas variaciones cada 3-4 días, y todavía es difícil prevenir la infección y recuperarse de ella. Las versiones recientes tienen extensiones modificadas, que se agregan al final de los archivos afectados, ahora son: .vapo. Aunque hay herramientas de descifrado de Emsisoft disponibles para versiones anteriores, las más nuevas generalmente no se pueden descifrar. Los procesos de penetración, infección y encriptación siguen siendo los mismos: las campañas de publicidad maliciosa de spam, las descargas de igual a igual, la falta de atención del usuario y la falta de protección decente conducen a una pérdida severa de datos después de la encriptación usando algoritmos AES-256 fuertes. Después de terminar su actividad devastadora, Vapo Ransomware deja el archivo de texto: una nota de rescate, llamada _readme.txt, de lo que podemos aprender, que el descifrado cuesta entre $490 y $980, y es imposible sin una determinada clave de descifrado.

Gatq Ransomware es, de hecho, un subtipo de notorio STOP Ransomware (DjVu Ransomware), que ha estado activo desde diciembre de 2017. El virus utiliza el algoritmo de cifrado AES-256 (modo CFB). Esta nueva versión apareció a mediados de mayo de 2023 y agrega .gatq extensión para archivos cifrados. STOP Ransomware pertenece a una familia de cripto-virus, que exigen dinero a cambio de descifrado. La buena noticia es que la mayoría de las versiones anteriores de Gatq Ransomware podrían descifrarse usando una herramienta especial llamada STOP Djvu Decryptor (enlace de descarga a continuación en el artículo), desarrollado por EmsiSoft. Gatq Ransomware usa exactamente los mismos correos electrónicos, patrones de notas de rescate y otros parámetros que docenas de sus predecesores: support@freshmail.top y datarestorehelp@airmail.cc. El malware crea _readme.txt archivo de nota de rescate con toda la información de contacto y explicaciones.

Gaze Ransomware es una de las muchas versiones de ransomware emitidas por STOP/Djvu familia. Esta versión en particular se lanzó a fines de mayo de 2023. Al igual que las versiones anteriores, Gaze Ransomware encripta los datos almacenados en la PC y exige un rescate criptográfico por un software de descifrado único que desbloqueará estos datos. La mayoría de las veces, el malware como Gaze explorará los archivos disponibles y bloqueará el acceso a los más valiosos. La lista de estos generalmente consiste en imágenes, música, videos y documentos que contienen información importante. Después de localizar estos archivos, el cifrador de archivos escribirá algoritmos criptográficos sólidos sobre los archivos objetivo para evitar que los usuarios se acerquen manualmente a su descifrado. Las víctimas infectadas con esta versión de ransomware verán sus datos cambiados con el .gaze extensión. Esto significa un archivo comprometido como 1.pdf cambiará a algo como 1.pdf.gaze. Luego, los desarrolladores de Gaze instalaron su virus para crear el _readme.txt archivo que presenta pautas de descifrado.

Gapo Ransomware o como a menudo se le llama STOP Ransomware or Djvu Ransomware pertenece a la gran familia de virus de cifrado de archivos con una larga trayectoria y múltiples modificaciones. Actualmente, este es uno de los ransomware más extendidos. No profundizaremos en los detalles técnicos de la infección, pero explicaremos métodos simples y posibilidades de descifrar los archivos afectados y eliminar el virus. Lo primero que debe saber, hay casos que pueden tratarse con éxito, la mala noticia es que las posibilidades de un resultado exitoso son menos del 5%. En este artículo, observaremos variaciones que añaden .gapo extensiones a los archivos y apareció a fines de mayo de 2023. Gapo Ransomware usa un patrón similar con todas las víctimas. Viene como una actualización falsa de Windows de sitios web de torrents que ejecutan ejecutables para deshabilitar programas de seguridad e inicia el proceso de encriptación de archivos valiosos, como documentos, videos, fotos, música. Al final, coloca una nota de rescate (_readme.txt) en cada carpeta con archivos cifrados.

Xaro es el nombre de un nuevo virus de cifrado de archivos desarrollado recientemente por la genealogía del ransomware STOP/Djvu. Esta variante de ransomware apareció en mayo de 2023 y comparte características generalmente idénticas con otras versiones lanzadas por este grupo de ciberdelincuentes. Lo único que lo hace único es el .xaro extensión que se agrega a los archivos específicos durante el cifrado. Una vez cifrados, los archivos ya no serán accesibles y se verán como 1.pdf.xaro sin el icono de acceso directo original. Después de esto, Xaro Ransomware crea una nota de texto llamada _readme.txt para presentar pautas de descifrado. En general, se dice que las víctimas tienen que pagar por la clave única de descifrado (y la herramienta) para recuperar los datos. El precio del descifrado asciende a 490 dólares en las primeras 72 horas y se afirma que se duplica a 980 dólares a menos que las víctimas se ajusten al plazo establecido. Para realizar este pago exigido, las víctimas deben iniciar la comunicación con los estafadores (por correo electrónico) y obtener más instrucciones sobre cómo pagar el rescate.

Si inesperadamente los nombres de sus archivos cambiaron, .xatz se agrega al final de su nombre, y los archivos dejaron de abrirse, esto significa que su computadora está infectada con el virus de cifrado de archivos llamado Xatz Ransomware (STOP Ransomware). Mediante un sistema de cifrado híbrido sólido y una clave única, este virus cifra todos los archivos ubicados en la computadora infectada. Cada archivo cifrado recibe una nueva extensión: .xatz. Esta versión apareció a mediados de mayo de 2023. Para cifrar los datos, el parásito utiliza una combinación de algoritmos AES y RSA. Casi todas las semanas aparecen nuevas versiones, aunque todas muestran su actividad según la misma plantilla. Incluso si elimina la nueva extensión o cambia el nombre del archivo por completo, no ayudará a restaurar el acceso a su contenido. Solo la clave y el descifrador que tienen los autores del Xatz Ransomware pueden descifrar los archivos. Afortunadamente para las víctimas de este virus, se creó un descifrador gratuito que, en algunos casos, puede ayudar a descifrar los archivos afectados. Después del cifrado, el malware coloca un archivo de texto especial con instrucciones para pagar el rescate (nota de rescate), llamado _readme.txt en cada carpeta.

Ser parte de la Djvu/STOP familia, Xash es una nueva infección de ransomware dirigida al cifrado de datos. Fue lanzado a mediados de mayo de 2023. Al igual que otros programas maliciosos de este tipo, STOP Ransomware de esta versión agrega su propio .xash extensión para archivos cifrados. En la gran mayoría de los casos, los datos se vuelven indescifrables con métodos convencionales. Solo el 1-2% de las ocasiones se pueden descifrar con la herramienta de descifrado designada. Sin embargo, con las instrucciones que proporcionamos en esta página, es muy probable que recupere algunos archivos importantes. Para ilustrar, un archivo inocente como 1.mp4 cambiará a 1.pdf.xashy de manera similar con otros archivos. Los desarrolladores de infecciones de ransomware buscan beneficios monetarios; es por eso que brindan instrucciones pagas para descifrar sus datos. Esta información se puede encontrar en una nota de texto (_readme.txt) creado en cada carpeta con los archivos cifrados.