Los virus

Sato Ransomware es un extorsionador de virus informáticos, de impacto global, que pertenece a la mayor familia de STOP/Djvu Ransomware. Fue desarrollado por ciberdelincuentes para chantajear a los usuarios de todo el mundo. El malware bloquea el acceso a los documentos, fotos, bases de datos, música, correo y archivos de los usuarios cifrándolos con un algoritmo de cifrado AES y exige un rescate: de $490 a $980 en Bitcoins. La modificación del virus, que estamos investigando ahora añade .sato extensiones a los archivos afectados y tiene muchos otros signos característicos. Apareció a finales de abril - principios de mayo. Por ejemplo, todas las versiones más recientes de STOP Ransomware usan _readme.txt archivo de nota de rescate con mensaje típico. La versión particular, bajo investigación hoy, utiliza las siguientes direcciones de correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc.

SethLocker es una infección de ransomware descubierta recientemente. Los ciberdelincuentes lo usan para ejecutar el cifrado de archivos potencialmente importantes y luego instan a las víctimas a pagar dinero por su descifrado. A diferencia de muchas otras infecciones similares que agregan su propia extensión al final de los nombres de archivo, SethLocker ejecuta cualquier alteración visual y deja todos los archivos e íconos en su aspecto original. A pesar de esto, los datos están encriptados y las víctimas no pueden acceder a ellos. Para devolver los datos bloqueados, los actores de amenazas han escrito instrucciones en una nota de texto llamada HOW_DECRYPT_FILES.txt. Dice que todos los archivos esenciales han sido encriptados debido a una vulnerabilidad dentro del sistema. Para rehacer los cambios maliciosos, las víctimas están obligadas a contactar a los estafadores a través de una de sus direcciones de correo electrónico y pagar dinero por el descifrado. El precio del descifrado no se revela en el mensaje, sin embargo, los ciberdelincuentes afirman que es "demasiado pequeño". Además, las víctimas también pueden enviar un archivo no valioso y descifrarlo de forma gratuita. De esta manera, los ciberdelincuentes muestran su capacidad para descifrar los archivos y, además, brindan una motivación adicional para pagar el rescate. Tenga en cuenta que, por lo general, no se recomienda pagar el rescate, ya que algunos extorsionadores engañan a sus víctimas y no envían ninguna herramienta de descifrado después del pago.

DVN es una infección de ransomware que ejecuta un cifrado fuerte para secuestrar archivos potencialmente importantes hasta que se paga un rescate. Además del cifrado, el virus también asigna la .devinn extensión para resaltar los datos bloqueados; cambia los fondos de escritorio; y crear el unlock_here.txt nota de texto con instrucciones de recuperación. Los ciberdelincuentes dicen que proporcionarán el software de descifrado necesario solo si las víctimas pagan 0.0077 BTC (alrededor de $200). Se indica que el pago solo se puede realizar en Bitcoin y a la dirección criptográfica adjunta. A diferencia de muchas otras infecciones de ransomware, los desarrolladores detrás de DVN Ransomware no incluyen ningún medio de comunicación con ellos (por ejemplo, correo electrónico, varios mensajeros, etc.). Por lo tanto, no está muy claro cómo se comunicarán las víctimas con los atacantes para recibir la herramienta de descifrado prometida después de realizar el pago. No se recomienda pagar el rescate, ya que existe el riesgo de no obtener nada a cambio. Desafortunadamente, debemos tener en cuenta que los ciberdelincuentes suelen ser las únicas figuras realmente capaces de descifrar completamente el acceso a los datos.

Fofd Ransomware (versión de STOP Ransomware or DjVu Ransomware) es un virus de encriptación generalizado de alto riesgo, que apareció por primera vez hace cerca de 5 años. Experimentó varios cambios visuales y técnicos a lo largo del tiempo. En este tutorial, analizaremos las versiones recientes de este peligroso malware. A fines de abril de 2023, STOP Ransomware comenzó a agregar las siguientes extensiones a los archivos cifrados: .fofd. Es por eso que recibió el nombre de "Fofd Ransomware", aunque es solo una de las variedades de STOP crypto-virus. El virus también modifica el archivo "hosts" para bloquear actualizaciones de Windows, programas antivirus y sitios relacionados con noticias de seguridad o que ofrecen soluciones de seguridad. El proceso de infección también parece instalar actualizaciones de Windows, el malware muestra una ventana falsa que imita el proceso de actualización. Un nuevo subtipo de STOP Ransomware utiliza las mismas direcciones de correo electrónico que algunas generaciones anteriores: support@freshmail.top y datarestorehelp@airmail.cc. Fofd Ransomware crea _readme.txt archivo de nota de rescate.

WannaCry (también referido como Wcry, Wana Decrypt0r 2.0, WanaDecryptory Virus WNCRY) es una infección de ransomware que encripta archivos personales utilizando algoritmos AES-128 y exige que las víctimas paguen por el descifrado. El virus fue descubierto por un investigador de seguridad S!Ri y hay un par de variantes conocidas de WannaCry. Dependiendo de qué variante atacó el sistema, los archivos afectados por el cifrado se modificarán utilizando el .wcry, .wncryo WNCRYT (para archivos .bmp encriptados). Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf.wcry o similar dependiendo de la versión del ransomware. Después de esto, el virus muestra las instrucciones de descifrado en una ventana emergente que se abre a la fuerza. Una de las variantes también cambia los fondos de escritorio. El Wana Decrypt0r 2.0 La variante también crea una nota separada que exige un rescate llamada @Please_Read_Me@.txt.

Si sus archivos recibieron recientemente .foty extensiones, eso significa que su PC está infectada con un virus de encriptación llamado Foty Ransomware (parte de STOP Ransomware or Djvu Ransomware familia, llamada así porque las primeras versiones del virus de este tipo añadieron .djvu extensión). Este es un malware muy extendido y distribuido activamente. El ransomware utilizó inicialmente el algoritmo de cifrado AES-256 y no había forma de descifrarlo. Sin embargo, si durante el proceso de encriptación la PC infectada estaba fuera de Internet, o si se interrumpió la conexión con un servidor remoto de piratas informáticos, sus archivos pueden desencriptarse utilizando los métodos que se proporcionan a continuación. STOP Ransomware tiene una nota de rescate llamada _readme.txt. En este archivo de texto, los malhechores dan información de contacto y detalles sobre cómo realizar un pago. El virus lo copia en el escritorio y en las carpetas con archivos cifrados. Los piratas informáticos proporcionan los siguientes contactos y correos electrónicos: support@freshmail.top y datarestorehelp@airmail.cc.

Foza Ransomware es un devastador virus de cifrado de la serie de STOP Ransomware (Djvu Ransomware). Foza Ransomware es una variante de la familia STOP/Djvu Ransomware, conocida por utilizar una combinación de dos algoritmos de cifrado: RSA y AES. RSA se utiliza para cifrar la clave AES simétrica que se genera para cada archivo. Esto significa que cada archivo tiene su propia clave AES única, que se utiliza para cifrar y descifrar el contenido del archivo. El ransomware genera el par de claves RSA en la computadora de la víctima y la clave pública se envía al servidor del atacante, que luego se usa para cifrar la clave AES simétrica. Tiene su nombre de .foza extensión, ese ransomware se agrega al final de los archivos cifrados. Desde un punto de vista técnico, el virus sigue siendo el mismo que las versiones anteriores. Lo único que cambia durante los últimos años son los datos de contacto de los malhechores.

Kafan es un nuevo virus ransomware que infecta a los usuarios de Windows para cifrar datos personales y extorsionar a las víctimas para descifrarlos. Una vez instalado, el ransomware ejecutará un escaneo rápido de los datos almacenados e iniciará el proceso de encriptación utilizando fuertes algoritmos criptográficos. Además, el malware también asignará su propio .kafan extensión para distinguir archivos bloqueados. Por ejemplo, un archivo originalmente llamado 1.pdf cambiará a 1.pdf.kafan y dejar de ser accesible. Por último, el cifrador de archivos genera una nota de rescate llamada help_you.txt con instrucciones sobre cómo devolver los datos. El mensaje de rescate requiere que las víctimas envíen un mensaje de correo electrónico a los ciberdelincuentes (PYTHONHAVENONAME@163.COM) y paguen por el descifrado. Al enviar el mensaje, también se les pide a las víctimas que escriban su ID en el título/asunto del mensaje. Se dice que el precio del descifrado depende de qué tan rápido las víctimas establezcan comunicación con los atacantes. Los ciberdelincuentes emplean tales técnicas de manipulación para ejercer una presión adicional sobre las víctimas y potencialmente obligarlas a aceptar pagar el rescate.