Los virus

Qazx Ransomware se llama así, debido a .qazx extensión, agregada a los archivos afectados, modificando las extensiones originales de varios tipos de datos confidenciales. Esta versión apareció a mediados de marzo de 2023. De hecho, técnicamente es STOP Ransomware, que utiliza algoritmos de cifrado AES para cifrar los archivos del usuario. Este sufijo es una de las cientos de extensiones diferentes utilizadas por este malware. ¿Significa que perdió sus valiosos datos? No necesariamente. Existen ciertos métodos que le permiten recuperar sus archivos total o parcialmente. Además, existe una utilidad de descifrado gratuita llamada STOP Djvu Decryptor en EmsiSoft, que se actualiza constantemente y es capaz de descifrar cientos de tipos de este virus. Después de terminar su actividad desastrosa, Qazx Ransomware crea _readme.txt archivo (nota de rescate), donde informa a los usuarios sobre el hecho del cifrado, la cantidad del rescate y las condiciones de pago.

Si no puede abrir sus archivos y tienen .craa extensión agregada al final de los nombres de archivo, significa que su PC está infectada con Craa Ransomware, la parte de STOP/Djvu Ransomware familia. Este malware atormenta a sus víctimas desde 2017 y ya se ha convertido en el virus de tipo ransomware más extendido de la historia. Infecta miles de computadoras por día utilizando varios métodos de distribución. Utiliza una combinación compleja de algoritmos de cifrado simétricos o asimétricos, elimina los puntos de restauración de Windows, las versiones anteriores de archivos de Windows, las instantáneas y básicamente deja solo 3 posibilidades de recuperación. La primera es pagar el rescate, sin embargo, no hay absolutamente ninguna garantía de que los malhechores devuelvan la clave de descifrado. La segunda posibilidad es muy poco probable, pero vale la pena intentarlo: utilizar una herramienta de descifrado especial de Emsisoft, llamada STOP Djvu Decryptor. Funciona solo bajo una serie de condiciones, que describimos en el siguiente párrafo. El tercero es el uso de programas de recuperación de archivos, que a menudo actúan como una solución para los problemas de infección de ransomware. Observemos el archivo de la nota de rescate (_readme.txt), que el virus coloca en el escritorio y en las carpetas con archivos cifrados.

Esxi (ESXiArgs) Ransomware es una infección maliciosa que se dirige a las organizaciones al explotar vulnerabilidades en VMware ESXi - una herramienta de máquina virtual utilizada para administrar y optimizar varios procesos dentro de las organizaciones. Los informes de seguridad indican que los ciberdelincuentes aprovechan las vulnerabilidades conocidas en VMware ESXi para obtener acceso a los servidores e implementar el ransomware ESXiArgs en el sistema objetivo. Una vez hecho esto, el virus comenzará a buscar para cifrar archivos ubicados en la máquina virtual con las siguientes extensiones: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Para cada archivo cifrado, el ransomware también creará un archivo separado con .ESXiArgs or .args extensión con metadatos dentro (probablemente necesarios para el descifrado futuro).

Siendo sucesor de Djvu Ransomware, Coba es un virus de tipo ransomware que se dirige a datos personales. Al igual que otros programas maliciosos de este tipo, Coba ejecuta el cifrado de datos para exigir un rescate monetario de las víctimas. Se restringirá el acceso a todos los archivos atacados por Coba (incluidas imágenes, bases de datos, documentos, etc.) y también se modificarán visualmente. Por ejemplo, un archivo como 1.pdf cambiará su apariencia a 1.pdf.coba al final del cifrado. Los desarrolladores de esta variante de ransomware aplican la .coba extensión a cada uno de los archivos de destino almacenados en un sistema. Lo siguiente que hace después de manipular las extensiones de datos crea una nota de rescate (_readme.txt) que contiene instrucciones de descifrado. Una vez que los usuarios lo abren, se les presentará un texto escrito por los ciberdelincuentes. Este texto proporciona información sobre cómo devolver los datos cifrados.

SkullLocker es una nueva variante de ransomware. La investigación indica que se desarrolló sobre la base de Chaos Ransomware, otra infección devastadora y conocida. Tras una infiltración exitosa, SkullLocker encripta el acceso a los archivos, agrega su propio .skull extensión, y crea una nota de rescate (read_it.txt) con instrucciones de descifrado escritas en polaco. Aquí hay un texto completo presentado en la nota junto con su traducción al inglés. En general, los ciberdelincuentes exigen que los usuarios realicen un pago dentro de las 72 horas, de lo contrario, los datos se perderán de forma permanente. Se solicita a los usuarios que se familiaricen con los detalles de pago y recuperación a través del enlace TOR adjunto. Además, la nota desaconseja intentar recuperar archivos manualmente, ya que hacerlo puede causar daños permanentes a los archivos.

Coaq Ransomware es el subtipo de STOP Ransomware (o DJVU Ransomware) y tiene todas las características de esta familia de virus. El malware bloquea el acceso a los datos en las computadoras de la víctima cifrándolos con el algoritmo de cifrado AES. STOP Ransomware es uno de los ransomware más longevos. Las primeras infecciones se registraron en diciembre de 2017. Coaq Ransomware con dicho sufijo es otra generación más y agrega .coaq extensiones a archivos cifrados. Después del cifrado, el malware crea un archivo de nota de rescate: _readme.txt en el escritorio y en las carpetas con archivos codificados. En este archivo, los piratas informáticos proporcionan información sobre el descifrado y los datos de contacto, como los correos electrónicos: support@freshmail.top y datarestorehelp@airmail.cc.

Nuevas instancias de STOP Ransomware (DjVu Ransomware) continúan dañando los archivos de los usuarios en todo el mundo. STOP/Djvu Ransomware es un tipo específico de ransomware que ha estado activo desde 2017. Es un tipo de malware de cifrado de archivos que cifra los archivos de las víctimas y exige el pago a cambio de la clave de descifrado. Este criptovirus utiliza un complejo algoritmo de encriptación AES para bloquear el acceso de los usuarios a sus datos y extorsionar con un rescate de $490 o $980. Una de las nuevas variaciones de extensión, que apareció en octubre de 2022, es: .cosw. El ransomware correspondiente obtuvo el nombre Cosw Ransomware. El virus agrega dichos sufijos al final de los archivos cifrados. Si sus archivos tienen ese final y no son accesibles, significa que su PC está infectada con STOP Ransomware. Los desarrolladores de malware modifican ligeramente el virus técnicamente.

Goba Ransomware, que en realidad es la próxima generación de STOP Ransomware apareció a principios de marzo de 2023. Este virus cifra los archivos esenciales de los usuarios, como documentos, fotos, bases de datos, música con cifrado AES y agrega .goba extensiones a los archivos afectados. Este ransomware es casi idéntico a numerosas versiones anteriores del malware, que describimos anteriormente, pertenece a los mismos autores y utiliza las mismas direcciones de correo electrónico (support@freshmail.top y datarestorehelp@airmail.cc) y las mismas carteras de Bitcoin. El descifrado completo es casi imposible, sin embargo, sus datos pueden restaurarse parcialmente siguiendo las instrucciones de este artículo. Después de que el virus termina, crea _readme.txt archivo con la nota de rescate en el escritorio y en las carpetas con archivos afectados.