Los virus

Bahamut es un programa malicioso que se dirige a dispositivos Android y está clasificado como spyware. El malware de este tipo está diseñado para espiar los datos confidenciales de los usuarios y usarlos indebidamente para obtener beneficios financieros futuros. Tras una instalación exitosa, el virus actúa como una aplicación normal y solicita a los usuarios que proporcionen una serie de permisos "obligatorios". Esto puede incluir permisos para acceder a la cámara, leer mensajes y administrar contactos telefónicos, grabar audio, acceder a la memoria del teléfono y otros permisos sospechosos que no deben otorgarse a software dudoso. El objetivo principal de Bahamut normalmente se establece en extraer información potencialmente valiosa de aplicaciones de mensajería populares como WhatsApp, Facebook Messenger, Telegram, Viber, ProtectedText, Imo, Secapp y Signal también. Los ciberdelincuentes hacen esto enviando la información recopilada a su servidor de Comando y Control remoto. Lo mismo se usa para implementar varios comandos para controlar el dispositivo infectado también. Tener Bahamut instalado en su sistema generará muchos riesgos de seguridad y privacidad. Es por eso que dicho software debe eliminarse tan pronto como lo vea. Hágalo usando nuestra guía a continuación y también aprenda cómo ocurrió su instalación.

JENNY es el nombre de un nuevo bloqueador de archivos descubierto por MalwareHunterTeam. El malware de este tipo normalmente está diseñado para restringir el acceso a los datos y exigir a las víctimas que paguen un rescate en criptografía. Después de infiltrarse con éxito en el sistema, el virus encripta piezas importantes de datos y también asigna la .JENNY extensión. Esto significa un archivo como 1.pdf cambiará a 1.pdf.JENNY y restablecer su icono original a blanco. Una vez finalizada esta parte, el ransomware reemplaza los fondos de pantalla del escritorio y presenta una ventana emergente en la pantalla. A diferencia de otras infecciones de ransomware, los desarrolladores de JENNY no proporcionan instrucciones de descifrado. Las víctimas se quedan confundidas sin absolutamente ninguna información de contacto para usar para llegar a los ciberdelincuentes. El motivo podría deberse a que este ransomware aún está en desarrollo y es probable que se esté probando. Esto significa que el descifrado con la ayuda de los desarrolladores es imposible y que una versión completa de JENNY puede lanzarse algún día en el futuro.

BlueSky Ransomware es un cifrador de archivos devastador. Restringe el acceso a los datos y solicita a las víctimas que paguen una tarifa por su devolución. Mientras ejecuta el cifrado de datos almacenados en el sistema, el virus también asigna la .bluesky extensión a cada muestra afectada. Por ejemplo, un archivo llamado 1.pdf cambiará a 1.pdf.bluesky y restablecer su icono original. Desde entonces, los archivos ya no serán accesibles. Para hacer que las víctimas paguen el rescate, los ciberdelincuentes diseñan instrucciones de descifrado idénticas en ambos # DECRYPT FILES BLUESKY #.html y # DECRYPT FILES BLUESKY #.txt notas de texto, que se crean después del cifrado. En el interior, los extorsionistas dicen que el único caso en que los archivos se pueden recuperar es si las víctimas compran una clave de descifrado y un software especiales. También dicen que cualquier intento de terceros de descifrar archivos sin la ayuda de los ciberdelincuentes puede provocar daños permanentes en los datos. A continuación, se indica a las víctimas que descarguen Tor Browser y visiten el enlace web proporcionado. Después de eso, las víctimas podrán ver el precio del descifrado e información adicional, por ejemplo, cómo crear una billetera y comprar criptomonedas también. El precio de descifrado se establece en 0.1 BTC ≈ $2,075 y se dice que se duplicará en 7 días después del ataque de ransomware. Los ciberdelincuentes también ofrecen probar el descifrado, ya que las víctimas pueden enviar un archivo bloqueado y descifrarlo de forma gratuita. Los desarrolladores de ransomware tienden a hacer esto para validar su confiabilidad y aumentar la confianza de las víctimas para pagar el rescate.

FARGO es un cifrador de archivos típico que restringe el acceso a los datos y los mantiene bloqueados hasta que se paga el rescate. También se determinó que era una nueva variante del familia de TargetCompany. Durante el cifrado, el virus resalta los archivos afectados añadiendo un nuevo .FARGO extensión. Por ejemplo, un archivo originalmente titulado 1.pdf cambiará a 1.pdf y restablezca su icono en blanco. Después de completar con éxito el cifrado de archivos, el ransomware crea un archivo de texto llamado FILE RECOVERY.txt que cuenta con instrucciones de descifrado. Los ciberdelincuentes dicen que el único camino para recuperar datos es comprar una herramienta de descifrado especial. Para esto, se les indica a las víctimas que se comuniquen con los extorsionadores a través de su dirección de correo electrónico (mallox@stealthypost.net). También se indica que las víctimas deben incluir su identificación generada personalmente en el mensaje. Para demostrar que su software de descifrado realmente funciona, los actores de amenazas ofrecen descifrado gratuito de algunos archivos no valiosos. Después de enviar estos archivos, los extorsionadores prometen asignar el precio del descifrado y dar instrucciones de pago. Desafortunadamente, debemos informarle que el descifrado manual sin la ayuda de los desarrolladores de ransomware es casi imposible.

Sheeva es una infección de ransomware descubierta recientemente que se dirige a los sistemas Windows para cifrar datos potencialmente importantes y exigir el pago de las víctimas por su descifrado. Mientras ejecutaba el sistema antivirus en nuestra máquina, Sheeva cifró principalmente archivos relacionados con el negocio que involucraban información de contabilidad, finanzas y bases de datos. También cambió el nombre de cada archivo de acuerdo con este patrón id[victim's_ID].[Sheeva@onionmail.org].[original_filename].sheeva. Por ejemplo, un archivo llamado 1.xlsx fue renombrado a id[xmrJ9Lve].[Sheeva@onionmail.org].1.xlsx.sheeva y soltó su icono original. Después de esto, la infección de ransomware creó un archivo de texto llamado sheeva.txt para incluir instrucciones de descifrado. Los ciberdelincuentes dicen que las víctimas tendrán que pagar una cantidad de dinero (no especificada) en Bitcoins para recuperar herramientas de descifrado únicas. Para ello, se indica a los usuarios que se pongan en contacto con los estafadores mediante Sheeva@onionmail.org or Sheeva@cyberfear.com direcciones de correo electrónico y también incluyen su identificación generada personalmente. También se permite enviar dos archivos (de menos de 5 MB) y descifrarlos de forma gratuita. Muchos ciberdelincuentes usan este truco para mostrar sus habilidades de descifrado y también motivar a las víctimas para que colaboren más con ellos. Dado que Sheeva Ransomware apunta a datos relacionados con el negocio, es razonable suponer que su alcance se reduce a usuarios corporativos en lugar de domésticos. Esto significa que el precio adicional anunciado para el descifrado puede ser bastante alto y alejar a muchas víctimas del descifrado. Desafortunadamente, a menos que haya errores graves y subdesarrollo dentro de un virus ransomware, el descifrado manual sin la ayuda de extorsionadores es casi imposible.

Checkmate es una nueva infección de ransomware que cifra grandes volúmenes de datos de la oficina y exige a las víctimas que paguen 15,000 XNUMX USD por su descifrado. El virus utiliza algoritmos seguros para cifrar datos importantes (por ejemplo, documentos, tablas, bases de datos, fotos, etc.). Durante este proceso, todos los archivos afectados se modifican visualmente con el .checkmate extensión. Por ejemplo, un archivo llamado 1.xlsx cambiará a 1.xlsx.checkmate y restablezca su icono original en blanco. Como resultado, los datos ya no serán accesibles. Por último, los desarrolladores crean una nota de texto llamada !CHECKMATE_DECRYPTION_README.txt para explicar cómo se pueden descifrar los archivos. La nota de texto indica cuántos archivos se han cifrado y qué se puede hacer para recuperarlos. Como se mencionó anteriormente, los extorsionadores requieren que las víctimas paguen el equivalente a 15,000 3 USD en Bitcoin a la dirección de su billetera criptográfica. Además, los estafadores también ofrecen probar el descifrado gratuito, enviando 15 archivos cifrados (no más de XNUMX MB cada uno) a través de Telegram Messenger. Posteriormente, le proporcionarán a la víctima muestras descifradas gratuitas y le proporcionarán la dirección de la billetera para el pago del rescate. Después de transferir dinero, los ciberdelincuentes prometen responder con herramientas de descifrado para desbloquear el acceso a los datos. Desafortunadamente, al momento de escribir este artículo, no existen herramientas de terceros que puedan permitir el descifrado gratuito sin la ayuda directa de los ciberdelincuentes. Los medios de cifrado utilizados por el ransomware suelen ser muy fuertes, lo que hace que las herramientas independientes a menudo sean inútiles con respecto al descifrado.

Recientemente descubierto por investigadores de ciberseguridad en MalwareHunterTeam y Cyble, Hydra ha desarrollado una nueva variante de troyano bancario diseñada para infectar dispositivos Android. Se imita a sí mismo bajo la aplicación Play Store llamada Document Manager, con más de 10,000 descargas en total. Los usuarios que descarguen esta aplicación y permitan ciertos permisos requeridos por ella experimentarán amenazas de seguridad sustanciales. Se informó específicamente que el troyano estaba dirigido al segundo banco alemán más grande, llamado Commerzbank. Solicita más de 20 permisos que, en caso de permitirse, permitirán a los atacantes hacer lo que quieran con su teléfono inteligente, por ejemplo, controlar las contraseñas ingresadas en las aplicaciones, modificar varias configuraciones, administrar llamadas telefónicas y mensajes SMS, bloquear y desbloquear el dispositivo infectado. , deshabilite la actividad antivirus, grabe imágenes de la cámara e implemente toneladas de otras tareas maliciosas destinadas a robar credenciales relacionadas con las finanzas. También es posible que se abuse de otros datos recopilados, como el teléfono o los contactos de las redes sociales, para engañar a las personas para que descarguen software falso que ejecuta infecciones. Los síntomas más populares de los troyanos que se ejecutan dentro del sistema de un teléfono inteligente son retrasos, momentos de congelamiento, sobrecalentamiento, apertura aleatoria de sitios web o aplicaciones y otros signos de comportamiento extraño que no estaban presentes antes. Los troyanos como Hydra son extremadamente peligrosos y es importante detener su acción maliciosa realizando una eliminación completa. Puede ser difícil hacerlo por su cuenta sin los conocimientos pertinentes, por lo que preparamos una guía completa para ayudarlo a eliminar el troyano bancario Hydra de su dispositivo Android.

LIZARD y LANDSLIDE son dos infecciones de ransomware muy similares desarrolladas por el mismo grupo de extorsionadores. Ambos encriptan datos personales y crean archivos de texto idénticos (#ReadThis.HTA y #ReadThis.TXT) que explica cómo los usuarios pueden restaurar el acceso a los datos restringidos. Las dos variantes de ransomware también son idénticas en la forma en que cambian el nombre de los archivos cifrados con ligeras diferencias. Dependiendo de cuál de los dos ransomware afectó su sistema, los archivos de destino se modificarán de acuerdo con [DeathSpicy@yandex.ru][id=victim's_ID]original_filename.LIZARD or [nataliaburduniuc96@gmail.com][id=victim's_ID]original_filename.LANDSLIDE diferente solo en e-mail de ciberdelincuentes y extensión final (.LIZARD or .LANDSLIDE) utilizado al final. Una vez que se realiza el cifrado, el virus crea archivos de texto que mencionamos anteriormente con contenido idéntico. Se informa a las víctimas de que, para descifrar los archivos, deben ponerse en contacto con los estafadores a través de una de las direcciones de correo electrónico proporcionadas. Los ciberdelincuentes dicen que establecerán un precio exacto para que las víctimas paguen el descifrado en Bitcoin (BTC). Luego de esto, prometen enviar la herramienta de descifrado que ayudará a los usuarios afectados a desbloquear los datos restringidos. Además de esto, los ciberdelincuentes ofrecen enviar un archivo de 100-200 KB de tamaño junto con el mensaje de correo electrónico. Se descifrará de forma gratuita y se devolverá a las víctimas como prueba de que los desarrolladores de ransomware son capaces de descifrarlo. Aunque los ciberdelincuentes suelen ser las únicas figuras capaces de descifrar los archivos por completo, muchos expertos en seguridad desaconsejan pagar el rescate.