Los virus

VapeV7 es un virus ransomware diseñado para cifrar datos en sistemas infectados con éxito. Al hacerlo, el virus se asegura de que los usuarios ya no puedan acceder o ver sus propios datos, lo que permite a los actores de amenazas exigir dinero para su descifrado. Los archivos cifrados aparecerán con el nuevo .VapeV7 extensión y restablece sus íconos originales en blanco. Después de esto, a las víctimas se les presentarán instrucciones de descifrado en una ventana emergente dedicada. Para restaurar el acceso a los datos, se exige a las víctimas que envíen $200 a la billetera BTC de los ciberdelincuentes (a través de una dirección dentro de la ventana emergente) y notifiquen a los extorsionadores con la identificación de la transacción por correo electrónico. Tenga en cuenta que las billeteras BTC y los correos electrónicos de contacto cambian cada segundo, lo que genera mucha incertidumbre sobre qué dirección de billetera y correo electrónico usar. Además, las billeteras BTC mostradas son en realidad incorrectas y, por lo tanto, no existen en absoluto. Un fenómeno tan extraño podría ser una señal de que VapeV7 Ransomware tiene errores o aún está en desarrollo. Sin embargo, no se excluye que los ciberdelincuentes detrás de este ransomware eliminen los errores y golpeen a las futuras víctimas con pautas de descifrado más confiables. Desafortunadamente, a pesar de este hecho, es menos probable que los archivos cifrados por VapeV7 Ransomware se puedan descifrar manualmente.

Charmant es un programa malicioso que entra en la categoría de ransomware. El malware de este tipo está diseñado para cifrar el acceso a los datos y hacer que las víctimas paguen dinero por su descifrado. Mientras cifra el acceso a los archivos almacenados en el sistema, esta variante de ransomware también asigna el .charmant extensión para resaltar los datos bloqueados. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf y perder su icono original. Inmediatamente después de que finaliza el cifrado, aparece una nota de texto denominada #RECOVERY#.txt se crea para presentar pautas de descifrado. Para establecer contacto con los ciberdelincuentes y solicitar el descifrado de los archivos bloqueados, se indica a las víctimas que escriban por correo electrónico o mediante el cliente Jabber (un servicio de mensajería seguro). Después de una comunicación exitosa con los ciberdelincuentes, lo más probable es que se exija a las víctimas que paguen una determinada tarifa de rescate para obtener un software especial y una clave de descifrado. Además, el mensaje también advierte contra la ejecución de modificaciones en los archivos o el intento de descifrarlos con herramientas de terceros, ya que tales acciones pueden provocar daños permanentes. Si bien esta información puede estar inicialmente diseñada para asustar a los usuarios inexpertos y eventualmente pagar por el descifrado, en realidad es cierta. Sin las claves de descifrado correctas que almacenan los ciberdelincuentes, rara vez es posible descifrar los archivos por completo y sin riesgos de daños. En el momento de escribir este artículo, no se conoce ninguna herramienta de terceros que pueda descifrar los datos bloqueados. En casos excepcionales, las herramientas de descifrado genéricas pueden funcionar solo si el ransomware contenía fallas o no logró cifrar los archivos de la manera prevista.

Recientemente, los expertos han observado la epidemia del virus. Boty Ransomware (una variante de STOP Ransomware or Djvu Ransomware). Este malware apareció en abril de 2023. Es un virus de encriptación que utiliza un algoritmo de encriptación AES-256 fuerte para encriptar archivos de usuario y hace que no estén disponibles para su uso sin una clave de desencriptación. Las últimas versiones de esta plaga agregan .boty extensiones a los archivos afectados. Boty Ransomware crea un archivo de texto especial, que se llama "nota de rescate" y se llama _readme.txt. En este archivo de texto, los malhechores proporcionan detalles de contacto, información general sobre el cifrado y opciones para el descifrado. El virus lo copia en el escritorio y en las carpetas con archivos cifrados. Los malhechores pueden ser contactados por correo electrónico: support@freshmail.top y datarestorehelp@airmail.cc.

Boza Ransomware es una nueva variante del STOP/Djvu Ransomware que surgió a principios de abril de 2023. Este ransomware agrega el .boza extensión a los archivos cifrados, haciéndolos inaccesibles para el usuario. Al igual que otras variantes de ransomware, Boza Ransomware utiliza algoritmos de cifrado avanzados para bloquear archivos y exige un rescate a cambio de la clave de descifrado. El ransomware se dirige a una amplia gama de archivos, incluidos documentos, imágenes, videos, audios y otros datos del usuario. Una vez que el ransomware infecta una computadora, escanea todo el sistema en busca de archivos y los cifra utilizando el algoritmo de cifrado AES-256, haciéndolos inaccesibles. El ransomware también suelta una nota de rescate llamada _readme.txt, proporcionando instrucciones para que el usuario pague el rescate al atacante a cambio de la clave de descifrado. Los atacantes también utilizan una clave de cifrado única para cada sistema infectado, lo que dificulta que los investigadores de seguridad desarrollen una herramienta de descifrado universal.

Kiop Ransomware es otro representante de STOP/Djvu virus, que ha estado atormentando a los usuarios desde 2017. Esta versión particular se lanzó a principios de abril de 2023 y agrega .kiop extensión a todos los archivos cifrados, como se puede ver en su nombre. Aparte de eso, es el mismo virus que cifra archivos y exige rescates que cientos de sus predecesores. El ransomware de este tipo utiliza la misma criptografía, es decir, lamentablemente, aún no se puede descifrar. Kiop Ransomware, al igual que otras variantes de STOP/Djvu Ransomware, generalmente usa una combinación de algoritmos de cifrado simétricos y asimétricos para cifrar los archivos de la víctima. Específicamente, el ransomware usa el cifrado AES-256 para cifrar los archivos de la víctima de forma simétrica y luego usa el cifrado RSA-2048 para cifrar la clave de cifrado AES de forma asimétrica. Esto significa que el atacante posee la clave RSA privada necesaria para descifrar la clave de cifrado AES y, por lo tanto, puede descifrar los archivos de la víctima después de recibir el pago. Lo único que ha cambiado durante los últimos años son las direcciones de correo electrónico de extensión y contacto. El nombre de la nota de rescate permanece sin cambios (_readme.txt) y puede verificar el contenido en el cuadro de texto a continuación.

Skylock es una nueva variante de ransomware que se origina en la familia MedusaLocker. Tras infiltrarse con éxito, el virus cifra el acceso a los archivos (basado en criptografía AES y RSA) y asigna el .skylock extensión a ellos. Por ejemplo, un archivo como 1.pdf cambiará a 1.pdf al encriptar con éxito. Para revertir el daño y devolver los datos bloqueados, los ciberdelincuentes presentan instrucciones de descifrado dentro del How_to_back_files.html archivo. En general, a las víctimas se les dice que necesitan comprar un software de descifrado especial de los ciberdelincuentes detrás de la infección. Para hacerlo, deben establecer contacto con los extorsionadores utilizando uno de los canales de comunicación (ya sea a través del enlace en el navegador TOR o direcciones de correo electrónico proporcionadas). También se dice que las víctimas pueden enviar 2 o 3 archivos que no contengan información importante y recuperarlos descifrados de forma gratuita. Esto es para demostrar que los actores de amenazas son realmente capaces de descifrar los archivos. Si las víctimas se niegan a ponerse en contacto con los extorsionadores y pagan por el descifrado, sus datos se filtrarán a los recursos públicos, lo que puede ocasionar daños a la reputación de la empresa o la identidad personal de los usuarios. Desafortunadamente, a pesar de que el descifrado puede ser inasequible o innecesario para algunos usuarios, los ciberdelincuentes suelen ser las únicas figuras capaces de descifrar el acceso a los datos.

Si sus archivos no están disponibles, no se pueden leer y se .kiwm extensiones, significa que su computadora está infectada con Kiwm Ransomware (variación de STOP Ransomware o como es, a veces, llamado DjVu Ransomware). Es un programa malicioso que pertenece al grupo de virus ransomware. Esta versión en particular se lanzó a principios de abril de 2023. Este virus puede infectar casi todas las versiones modernas de los sistemas operativos de la familia Windows, incluidos Windows 7, Windows 8, Windows 10 y el último Windows 11. El malware utiliza un cifrado híbrido. y una clave RSA larga, lo que prácticamente elimina la posibilidad de seleccionar una clave para los archivos de descifrado automático. Al igual que otros virus similares, el objetivo de Kiwm Ransomware es obligar a los usuarios a comprar el programa y la clave necesarios para descifrar los archivos que se han cifrado. La versión, que se encuentra actualmente en investigación, es casi idéntica a las anteriores, excepto por los nuevos correos electrónicos utilizados para contactar a los malhechores y las nuevas extensiones agregadas.

Kitz Ransomware (pertenece a la familia de STOP Ransomware or Djvu Ransomware) es un virus de cifrado de archivos de alto riesgo que afecta a los sistemas Windows. A principios de abril de 2023, la nueva generación de este malware comenzó a codificar archivos usando .kitz extensiones. El virus se dirige a tipos de archivos importantes y valiosos, como fotos, documentos, videos, archivos, archivos cifrados que se vuelven inutilizables. Put ransomware _readme.txt archivo, que se llama "nota de rescate" o "nota de rescate" en el escritorio y en las carpetas con archivos cifrados. Los desarrolladores utilizan los siguientes correos electrónicos de contacto: support@freshmail.top y datarestorehelp@airmail.cc. Los piratas informáticos exigen $ 980 por el descifrado de sus archivos (el mensaje indica que las víctimas obtendrán un 50% de descuento si contactan a los ciberdelincuentes dentro de las 72 horas posteriores al cifrado). Según muchos informes, los malhechores a menudo no responden a las víctimas cuando reciben el pago del rescate. Recomendamos enfáticamente no pagar ningún dinero. Los archivos cifrados por algunas versiones de Kitz Ransomware se pueden descifrar con la ayuda de STOP Djvu Decryptor.