Los virus

Nuevas instancias de STOP Ransomware (DjVu Ransomware) continúan dañando los archivos de los usuarios en todo el mundo. STOP/Djvu Ransomware es un tipo específico de ransomware que ha estado activo desde 2017. Es un tipo de malware de cifrado de archivos que cifra los archivos de las víctimas y exige el pago a cambio de la clave de descifrado. Este criptovirus utiliza un complejo algoritmo de encriptación AES para bloquear el acceso de los usuarios a sus datos y extorsionar con un rescate de $490 o $980. Una de las nuevas variaciones de extensión, que apareció en octubre de 2022, es: .cosw. El ransomware correspondiente obtuvo el nombre Cosw Ransomware. El virus agrega dichos sufijos al final de los archivos cifrados. Si sus archivos tienen ese final y no son accesibles, significa que su PC está infectada con STOP Ransomware. Los desarrolladores de malware modifican ligeramente el virus técnicamente.

Goba Ransomware, que en realidad es la próxima generación de STOP Ransomware apareció a principios de marzo de 2023. Este virus cifra los archivos esenciales de los usuarios, como documentos, fotos, bases de datos, música con cifrado AES y agrega .goba extensiones a los archivos afectados. Este ransomware es casi idéntico a numerosas versiones anteriores del malware, que describimos anteriormente, pertenece a los mismos autores y utiliza las mismas direcciones de correo electrónico (support@freshmail.top y datarestorehelp@airmail.cc) y las mismas carteras de Bitcoin. El descifrado completo es casi imposible, sin embargo, sus datos pueden restaurarse parcialmente siguiendo las instrucciones de este artículo. Después de que el virus termina, crea _readme.txt archivo con la nota de rescate en el escritorio y en las carpetas con archivos afectados.

Si sus archivos han sido alterados repentinamente con el .wannasmile extensión (por ejemplo, 1.pdf.wannasmile) y ahora se le muestra un mensaje que exige un rescate en la ventana emergente, entonces es probable que esté lidiando con WannaSmile Ransomware. Aunque no hay suficiente justificación para esto, WannaSmile podría ser una nueva versión de otro ransomware con el mismo nombre de 2017 (por desarrolladores iraníes), que asignó el .WSmile extensión. En general, dicho malware suele estar diseñado para hacer que los datos sean inaccesibles (ejecutando el cifrado) y luego extorsionar a las víctimas para descifrarlos.

Desarrollado por el Djvu familia, Goaq Ransomware es un programa malicioso que ejecuta un cifrado extenso de datos personales. Utiliza algoritmos populares pero fuertes para poner los archivos almacenados bajo un estricto bloqueo. Esto, por lo tanto, evita que los usuarios logren el descifrado manual. Sabiendo que los usuarios no podrán recuperar archivos por sí mismos, los ciberdelincuentes ofrecen descifrar datos usando sus herramientas por una cierta cantidad de dinero. Los detalles que se presentan dentro de una nota de texto llamada _readme.txt, que se crea después de que Goaq asigna nuevas extensiones a los datos. En concreto, añade la .goaq extensión para que los archivos cifrados se vean así 1.pdf.goaq. Tan pronto como se realicen dichos cambios, los usuarios ya no serán elegibles para acceder a sus datos.

Este artículo contiene información sobre Gosw Ransomware versión de STOP Ransomware que agrega .gosw extensiones a archivos cifrados y crea archivos de notas de rescate en el escritorio y en las carpetas con archivos afectados. Desafortunadamente, el algoritmo de cifrado de este ransomware actualmente es irrompible, pero existen pocas posibilidades de restaurar sus archivos, que describimos en este texto. Gosw Ransomware se distribuye activamente en los siguientes países: EE. UU., Canadá, España, México, Turquía, Egipto, Brasil, Chile, Ecuador, Venezuela, Alemania, Polonia, Hungría, Indonesia, Tailandia. Esta variación apareció por primera vez a principios de marzo de 2023 y es casi idéntica a las docenas de variaciones anteriores. El virus ransomware todavía usa el algoritmo de cifrado AES y aún exige un rescate en Bitcoin para el descifrado.

Alice Ransomware es un programa malicioso diseñado para cifrar los datos personales de los usuarios y exigir dinero para su descifrado. Mientras cifra el acceso a los archivos con la ayuda de algoritmos seguros, el cifrador de archivos también asigna el .alice extensión a datos cifrados. Por ejemplo, un archivo como 1.pdf probablemente cambiará a 1.pdf.alice y restablecer su icono original. Muchas infecciones de ransomware asignan su extensión personalizada para distinguir los archivos cifrados y hacer que los usuarios noten el cambio. Las instrucciones sobre cómo devolver los archivos se presentan en el How To Restore Your Files.txt archivo de texto, que se crea después de un cifrado exitoso. Esta nota de texto presenta pautas escritas en ruso, lo que indica que este encriptador apunta principalmente a usuarios de habla rusa. Vale la pena señalar que se ha visto a Alice distribuida en dos variantes con texto de nota de rescate ligeramente diferente.

STOP Ransomware es una plaga de 2017-2023, virus tenaz basado en tecnología de cifrado, Qotr Ransomware es una versión reciente de la misma. El ransomware usa el algoritmo de encriptación AES para codificar archivos importantes y extorsiona un rescate en Bitcoins para descifrarlos. Este malware apunta principalmente a los países occidentales, pero se han detectado miles de infecciones en otras partes del mundo. Qotr Ransomware usa los mismos patrones pero agrega diferentes extensiones para modificar los archivos. La versión que observamos hoy agrega .qotr extensión. El cripto-virus afecta los datos valiosos del usuario: fotos, videos y documentos, toma como rehenes archivos potencialmente críticos. Al mismo tiempo, mantiene intactos los archivos del sistema de Windows. Todas las versiones recientes usaban un archivo de nota de rescate llamado _readme.txt, y esta variación no es una excepción. Todas las muestras pertenecen a los mismos autores, ya que utilizan los mismos datos de contacto: support@freshmail.top y datarestorehelp@airmail.cc.

Qoqa Ransomware (que es parte de una gran familia de STOP / Djvu Ransomware) es un virus desagradable, que cifra archivos en computadoras usando el algoritmo de cifrado AES, los hace no disponibles y exige dinero a cambio del llamado "descifrador". Los archivos procesados ​​por la última versión de STOP Ransomware, en particular, se pueden distinguir por .qoqa extensiones. El análisis mostró que el instalador criptográfico cargado con el "crack" o el adware se instala con un nombre arbitrario en el %LocalAppData%\ carpeta. Cuando se ejecuta, carga cuatro archivos ejecutables allí: 1.exe, 2.exe, 3.exe y updatewin.exe. El primero de ellos se encarga de neutralizar Windows Defender, el segundo es de bloquear el acceso a los sitios de seguridad de la información. Una vez que se lanza el malware, aparece un mensaje falso en la pantalla que dice sobre la instalación de la actualización para Windows. De hecho, en este momento, casi todos los archivos de usuario en la computadora están encriptados. En cada carpeta que contiene documentos cifrados, un archivo de texto (_readme.txt), en el que los atacantes explican el funcionamiento del virus. Ofrecen pagarles un rescate por el descifrado, instándolos a no usar programas de terceros, ya que esto puede conducir a la eliminación de todos los documentos.