Los virus

La cantidad de consultas relacionadas con la nueva actividad de ransomware crece cada día con nuevas infecciones. Esta vez, los usuarios están lidiando con Tycx Ransomware, que es una pieza nueva y peligrosa desarrollada por el Djvu/STOP familia. Esta versión particular comenzó a infectar computadoras en la segunda quincena de marzo de 2023. Su actividad reciente ha encriptado una gran cantidad de datos personales con algoritmos fuertes. A pesar de que Tycx Ransomware aún no se ha inspeccionado por completo, hay algunas cosas que ya están claras. Por ejemplo, el virus reconfigura varios tipos de datos (imágenes, documentos, bases de datos, etc.) cambiando las extensiones originales a .tycx. Esto significa que todos los tipos de datos guardarán su nombre inicial, pero cambiarán la extensión principal a algo como esto "1.pdf.tycx". Una vez que el proceso de cifrado llegue a su fin, ya no podrá acceder a sus datos. Para recuperarlo, los extorsionistas han programado la creación de notas idénticas colocadas en carpetas cifradas o en un escritorio. El nombre de la nota suele ser _readme.txt, que contiene instrucciones detalladas sobre cómo recuperar sus datos.

Tywd Ransomware (la última versión de STOP or Djvu Ransomware) es extremadamente dañino y uno de los virus de encriptación más activos. Más de la mitad de los envíos de ransomware a ID-Ransomware (servicio de identificación de ransomware) son realizados por víctimas de STOP Ransomware. Aunque lleva un par de años en circulación, el número de infecciones provocadas por Tywd Ransomware sigue aumentando. Puede resultar algo irónico, pero la mayoría de las víctimas (por el momento) son usuarios de software pirateado. La versión del virus, que se está considerando hoy, agrega .tywd extensión a archivos. El programa malicioso también crea un archivo de texto (llamado _readme.txt) en cada carpeta infectada, lo que le explica al usuario que su computadora está infectada y que no podrá acceder a sus datos hasta que pague un rescate de $980. Si el usuario paga dentro de las 72 horas posteriores a la infección, el rescate se reduce a 490 dólares estadounidenses. El ejemplo de esta nota de rescate se presenta a continuación.

Darj Ransomware es un virus de encriptación frecuente y chantajista, que se dirige a archivos personales valiosos. Pertenece a STOP/Djvu grupo de malware. Después de la infección y la codificación de datos, los piratas informáticos comienzan a extorsionar el rescate. Ha habido más de 600 versiones del ransomware, cada versión se modifica ligeramente para eludir la protección, pero las huellas principales siguen siendo las mismas. El malware usa AES-256 en modo CFB. Poco después del lanzamiento, el ejecutable del criptógrafo de la familia STOP se conecta a C&C, recupera la clave de cifrado y el ID de infección para la PC de la víctima. Los datos se transmiten a través de HTTP simple en forma de JSON. Si C&C no está disponible (la PC no está conectada a Internet, el servidor en sí no funciona), el criptógrafo usa la clave y la identificación codificadas y realiza el cifrado fuera de línea. En este caso, puede descifrar los archivos sin pagar un rescate. Las variaciones de STOP Ransomware se pueden distinguir entre sí por las notas de rescate y las extensiones que agrega a los archivos cifrados. Para STOP Ransomware bajo investigación hoy, la extensión es: .darj. El archivo de la nota de rescate _readme.txt se presenta a continuación en el cuadro de texto y la imagen. En el siguiente artículo, explicamos cómo eliminar Darj Ransomware por completo y las formas de descifrar o restaurar archivos .darj.

Basn es una infección de ransomware que se dirige a varias empresas. Al infiltrarse, escanea rápidamente el sistema en busca de archivos potencialmente importantes (por ejemplo, documentos, bases de datos, videos, imágenes, etc.) y encripta el acceso a ellos. Durante este proceso, el virus también asigna su propio .basn extensión para resaltar los datos bloqueados. Por ejemplo, un archivo originalmente llamado 1.xlsx cambiará a 1.xlsx.basn y restablezca su icono en blanco. Después de una encriptación exitosa, el encriptador de archivos también suelta un archivo de texto llamado unlock your files.txt con instrucciones de descifrado en el interior. Dentro de la nota, se aclara que los datos de la víctima han sido encriptados y extraídos a los servidores de los ciberdelincuentes. Para desbloquear los datos cifrados y evitar la fuga de datos a recursos/cifras dudosas, los extorsionadores exigen a las víctimas que paguen un rescate en criptomonedas Bitcoin o Monero. El precio no se revela en la nota, ya que es probable que varíe según la cantidad y el valor de los datos cifrados. Desafortunadamente, a menos que el virus tenga vulnerabilidades graves que puedan ser explotadas, los ciberdelincuentes suelen ser las únicas figuras capaces de descifrar el acceso a los datos de forma completa y segura. Por ahora, no se sabe de ningún tercero que pueda eludir el cifrado aplicado por Basn Ransomware. Las únicas opciones disponibles para la recuperación de datos son colaborar con los desarrolladores de ransomware u obtener datos de las copias de seguridad existentes. Las copias de seguridad son copias de datos almacenados en dispositivos externos, como unidades USB, discos duros externos o SSD. El único inconveniente de la autorrecuperación es que los actores de amenazas pueden publicar los datos recopilados y, por lo tanto, dañar la reputación de algunas empresas si realmente tienen la intención de hacerlo.

Dazx Ransomware es una versión de la STOP/Djvu familia de ransomware. Es un tipo de malware que encripta los archivos en la computadora de la víctima y exige el pago de un rescate a cambio de la clave de descifrado. Cuando Dazx Ransomware infecta una computadora, cifrará los archivos de la víctima utilizando un algoritmo de cifrado fuerte, haciéndolos inaccesibles para la víctima. El malware utiliza un algoritmo de cifrado simétrico para cifrar los archivos de la víctima. Específicamente, utiliza el cifrado de flujo Salsa20 para cifrar los datos. La clave de cifrado se genera aleatoriamente para cada víctima y se almacena en el servidor del atacante. Los archivos cifrados tendrán una nueva extensión agregada a sus nombres de archivo, como .dazx. El Dazx Ransomware también crea un archivo de nota de rescate llamado _readme.txt en cada carpeta que contiene archivos cifrados. Este archivo contiene instrucciones sobre cómo pagar el rescate para recibir la clave de descifrado. La nota de rescate también advierte a la víctima que no intente descifrar los archivos con software de terceros, ya que esto puede provocar la pérdida permanente de datos.

Código es el nombre de una nueva variante de ransomware que infecta a las organizaciones para ejecutar el cifrado de datos y extorsionar a cambio de la clave de descifrado. Durante el cifrado, agrega el .code extensión y crea una nota de rescate (llamada !!!HOW_TO_DECRYPT!!!.txt) con instrucciones sobre cómo descifrar los datos bloqueados. Así es como se vería un archivo infectado después del cifrado: 1.pdf.code, 2.png.code, y así sucesivamente con otros tipos de archivos atacados por el virus. En la nota, los ciberdelincuentes intentan persuadir a las víctimas para que paguen el rescate por el descifrado. Se dice que las víctimas tienen que instalar el mensajero TOX y escribir a los extorsionadores utilizando la identificación TOX proporcionada. A menos que las víctimas cumplan con estas demandas y se nieguen a comprar el descifrado, los actores de amenazas amenazan con comenzar a compartir aleatoriamente los datos cifrados con otras partes o filtrarlos/venderlos en la web oscura y otros recursos turbios.

Dapo Ransomware es una variante de la STOP/Djvu Ransomware, que es un tipo de malware que encripta archivos en la computadora de la víctima y exige el pago de un rescate a cambio de una clave de descifrado para restaurar los archivos. Durante el cifrado, este malware modifica las extensiones de archivo para .dapo. Una vez que se completa el proceso de encriptación, el ransomware suelta una nota de rescate en el escritorio de la víctima y en cada carpeta que contiene archivos encriptados. La nota contiene instrucciones sobre cómo pagar el rescate para recibir la clave de descifrado. Los atacantes suelen exigir el pago en criptomonedas, como Bitcoin. Es importante tener en cuenta que no hay garantía de que el pago del rescate resulte en el descifrado de los archivos. En algunos casos, las víctimas pagaron el rescate pero nunca recibieron la clave de descifrado, mientras que en otros casos, se descubrió que la clave de descifrado proporcionada por los atacantes no era efectiva. El nombre del archivo de la nota de rescate utilizado por Dapo Ransomware sigue la misma convención de nomenclatura. el archivo se llama _readme.txt. La nota de rescate contiene instrucciones sobre cómo pagar el rescate para recibir la clave de descifrado y, por lo general, incluye una dirección de correo electrónico que la víctima puede usar para comunicarse con los atacantes.

Qarj es una nueva variante de ransomware desarrollada y publicada por una plantilla de notorio STOP/Djvu familia. Esta variante en particular se lanzó en marzo de 2023. Al ser un virus de cifrado de archivos, bloquea el acceso a los datos personales mediante el uso de algoritmos de cifrado seguro. Esto significa que los archivos almacenados en una PC ya no serán abiertos por los usuarios hasta que sean descifrados. Actualmente, existen pocas posibilidades de descifrado de archivos cifrados por Qarj. Solo el 1-2% de los casos son descifrables, cuando se cumplen ciertas condiciones. Use todas las instrucciones en esta página hasta que obtenga algunos datos restaurados. Para mostrar que todos los archivos se han bloqueado, los desarrolladores agregan el nuevo .qarj extensión a cada uno de los archivos. Por ejemplo, una muestra de archivo como 1.pdf cambiará a 1.pdf.qarj y restablecer su icono eventualmente. Una vez finalizada esta parte del cifrado, el virus crea una nota de texto (_readme.txt) con instrucciones de rescate.