Los virus

Bazek es una infección de virus que presenta todos los rasgos inherentes al ransomware. En pocas palabras, cifra el acceso a los datos (utilizando algoritmos AES-256) y pide a las víctimas que se pongan en contacto con los ciberdelincuentes para obtener una clave de descifrado especial. Durante el cifrado, el virus también asigna la nueva .bazek extensión a cada archivo de destino. Para ilustrar, un archivo llamado 1.pdf cambiará a 1.pdf.bazek y perder su icono original también. Dependiendo de qué versión de Bazek Ransomware atacó la computadora, creará una nota de texto llamada README.txt o mostrar una ventana emergente con instrucciones de descifrado similares.

También conocido como Sullivan, RansomBoggs es una infección de ransomware diseñada para encriptar datos y luego exigir el pago por descifrarlos. Investigaciones recientes mostraron que este virus ha tenido numerosos ataques en varias organizaciones ubicadas en Ucrania. Durante el cifrado, RansomBoggs cambia el nombre de todos los archivos de destino con el .chsch extensión. Por ejemplo, un archivo originalmente titulado como 1.pdf cambiará a 1.pdf.chsch y dejar de ser accesible. Después de esto, el ransomware también crea su propia nota (SullivanDecryptsYourFiles.txt) con instrucciones de descifrado.

SEX3 es un virus informático clasificado como ransomware. Además, se descubrió que era una nueva versión de otro cifrador de archivos llamado SATANÁ Ransomware. El software de este tipo se desarrolla para cifrar datos potencialmente valiosos y exigir a los propietarios de archivos que paguen dinero por su descifrado. Mientras ejecuta el cifrado, SEX3 Ransomware está programado para alterar archivos específicos con el .SEX3 extensión. Este es simplemente un cambio visual para resaltar los datos bloqueados además del cifrado exitoso. Después de esto, el virus cambia los fondos de escritorio y también crea una nota de texto llamada !satana!.txt que contiene breves instrucciones sobre cómo desbloquear el acceso a los archivos.

Onelock es una infección de ransomware desarrollada por la familia de ransomware Medusa. Su propósito es encriptar el acceso a datos potencialmente importantes (utilizando algoritmos de encriptación RSA y AES) y extorsionar a las víctimas para obtener un descifrado completo. Mientras hace que los archivos sean inaccesibles, el virus agrega el nuevo .onelock extensión, lo que haría un archivo como 1.pdf cambiar 1.pdf.onelock y restablecer su icono original. El mismo patrón se aplica a otros archivos que son el objetivo de la infección. Después de completar con éxito, Onelock crea el how_to_back_files.html archivo para incluir instrucciones de descifrado. En general, se dice que los desarrolladores de ransomware son las únicas figuras capaces de descifrar los datos de las víctimas. Para ello, se indica a las víctimas que se pongan en contacto con los ciberdelincuentes mediante un enlace de chat en el navegador Tor (o correo electrónico) y paguen una cantidad específica de rescate.

Alpha865qqz es un nuevo cifrador de archivos que pertenece a la familia de ransomware Maoloa. Mientras se realizaba una investigación sobre este malware, se descubrió que Alpha865qqz imita algunos rasgos de otra infección llamada GlobeImposter. Por ejemplo, durante el cifrado, agrega el .Globeimposter-Alpha865qqz extensión a archivos específicos. Para ilustrar, 1.pdf cambiará a 1.pdf.Globeimposter-Alpha865qqz, 1.png a 1.png.Globeimposter-Alpha865qqz, etcétera. Después de completar el proceso de encriptación, Alpha865qqz crea un archivo ejecutable llamado HOW TO BACK YOUR FILES.exe que enumera las instrucciones de descifrado. Algunas otras versiones de Alpha865qqz crearon el HOW TO BACK YOUR FILES.txt archivo de texto en su lugar, y también cambió los iconos originales de los archivos.

Faust es una nueva variante de ransomware desarrollada por el grupo de malware Phobos. Su propósito es cifrar datos potencialmente importantes y hacer que las víctimas paguen dinero por su descifrado. Junto con el cifrado, el virus también altera la forma en que aparecen los archivos; por ejemplo, un archivo originalmente llamado 1.pdf cambiará a algo como 1.pdf.id[9ECFA84E-3421].[gardex_recofast@zohomail.eu].faust y restablecer su icono original después del cifrado. Esta nueva cadena de caracteres que agrega el ransomware consiste en la identificación única de la víctima, la dirección de correo electrónico de los ciberdelincuentes y el .faust extensión. Después de completar con éxito el cifrado, Faust Ransomware genera una ventana emergente (info.hta) y archivo de texto (info.txt) que contienen pautas de descifrado.

Cypher es un troyano de administración remota (RAT) promovido por ciberdelincuentes para controlar dispositivos Android y ejecutar una serie de acciones maliciosas sobre ellos. Una vez que piratea un dispositivo Android, los actores de amenazas pueden administrar casi todo el dispositivo para lograr sus propósitos. Cypher también es un troyano público que cualquiera puede comprar en forma de planes de suscripción en el sitio web de los desarrolladores. Una de las características especiales a las que tienen acceso los ciberdelincuentes detrás de Cypher es el llamado secuestrador del portapapeles. Está diseñado para sustituir las direcciones copiadas de las billeteras criptográficas con las de los propietarios de troyanos. En otras palabras, si una víctima ejecuta alguna transacción de criptomonedas mientras el troyano está en el teléfono inteligente, los ciberdelincuentes podrán reemplazar sigilosamente la dirección copiada y recibir el pago en su billetera. Aparte de esto, Cypher RAT tiene una gran cantidad de otras capacidades típicas de este tipo de malware. Por ejemplo, puede cambiar los fondos de pantalla de los teléfonos inteligentes, administrar llamadas y SMS, forzar la apertura de varias aplicaciones, manipular la pantalla, memorizar las pulsaciones del teclado, tomar capturas de pantalla, usar un micrófono para grabar el audio entrante, analizar la ubicación del dispositivo, descargar software adicional, leer 2 -factorizar códigos de autenticación, imitar ventanas de inicio de sesión y otras funciones similares destinadas a beneficiar a los ciberdelincuentes de cualquier manera deseada.

AXLocker es un virus ransomware que cifra datos personales (documentos, fotos, bases de datos, etc.) y exige a las víctimas que paguen dinero por su descifrado. A diferencia de otras infecciones de ransomware que normalmente cambian el nombre de los datos cifrados (agregando nuevas extensiones), AXLocker deja los archivos con su apariencia original. A pesar de esto, las víctimas no podrán acceder a sus datos y el virus mostrará una ventana emergente con demandas relacionadas con el descifrado y el tiempo asignado para cumplirlas.