Los virus

Dllhost.exe es una pieza de software malicioso que se enmascara bajo dllhost.exe (COM Surrogate), un proceso legítimo e importante de Windows que se ejecuta de forma predeterminada dentro de cada sistema. Al hacerlo, el virus intenta evitar que los usuarios piensen que es algo sospechoso. También es posible ver una serie de procesos dllhost.exe genuinos en el Administrador de tareas que consumen toneladas de recursos de la CPU. Por ejemplo, se sabe que un troyano llamado Poweliks explota el proceso legítimo para ejecutar su trabajo sucio. El malware del que hablamos hoy crea un proceso falso separado para ejecutar sus tareas no deseadas. Se descubrió que los usuarios afectados ven sitios web forzados a abrir como páginas para adultos, casinos, apuestas, phishing, estafas, pornografía y otros tipos de recursos que promueven contenido potencialmente peligroso. La lista de posibles funciones de malware no termina solo con forzar redireccionamientos. Dichas infecciones pueden abarcar funciones de grabación de pantalla/audio, memorización de pulsaciones de teclas, espionaje de datos confidenciales, instalación de programas maliciosos como criptomineros y otras cosas similares. Si sospecha que está infectado con malware enmascarado Dllhost.exe, asegúrese de seguir nuestro tutorial a continuación para detectarlo y eliminarlo de inmediato.

Kekware es un virus reciente de tipo ransomware. El síntoma principal de esta infección que viola con éxito el sistema es un fuerte cifrado de datos. Como resultado, los usuarios ya no podrán acceder a los archivos ni modificarlos como solían hacerlo anteriormente. Las víctimas también verán un cambio en la forma en que aparecen sus datos: todas las muestras cifradas se renombran de acuerdo con el siguiente patrón: [cadena_aleatoria].[extensión_original][cadena_aleatoria].cyn. Para ilustrar, un archivo como 1.pdf puede cambiar a algo como 7462.jpg7088.cyn y restablecer su icono original también. Una vez realizada esta parte del cifrado, el virus crea un archivo llamado YcynNote.txt, que contiene instrucciones de descifrado. Como se dice en la nota, las víctimas deben pagar un rescate de $ 500 en bitcoins a la billetera de criptomonedas adjunta. Si las víctimas deciden no seguir las demandas, los ciberdelincuentes dicen que nunca será posible descifrar los datos sin su participación. Desafortunadamente, en el momento de escribir este artículo, esta afirmación debe tomarse muy en serio. Si no tiene copias de seguridad de los datos guardados en dispositivos de almacenamiento externo, tendrá la mínima oportunidad de descifrar los datos de Kekware con herramientas de terceros.

NOKOYAWA es una infección clasificada como ransomware que ejecuta el cifrado de datos y chantajea a las víctimas para que paguen dinero por su recuperación. Un informe publicado por Trend Micro presentó rasgos de ataque similares de NOKOYAWA Ransomware a Hive, un grupo de desarrolladores generalizado y disruptivo que violó más de 300 organizaciones en solo unos meses. Los ciberdelincuentes detrás de NOKOYAWA Ransomware usan el .NOKOYAWA extensión para cambiar el nombre de los datos de destino. Por ejemplo, un archivo como 1.xlsx cambiará su nombre a 1.xlsx.NOKOYAWA y restablecer el icono original también. Por lo tanto, el cifrado exitoso es seguido por la creación de una nota de rescate: el NOKOYAWA_readme.txt el archivo llega al escritorio. Dentro de esta nota, los ciberdelincuentes intentan convencer a las víctimas para que opten por el descifrado pagado. Duplican información en inglés y chino orientando a contactar a los extorsionadores a través de una de sus direcciones de correo electrónico (brookslambert@protonmail.com or sheppardarmstrong@tutanota.com). Si las víctimas rechazan sus sugerencias, los estafadores amenazan con publicar, como dicen, "mierda negra" en recursos de acceso abierto. El precio del descifrado se mantiene en secreto hasta que las víctimas establecen el contacto y también es probable que se evalúe individualmente para cada víctima. En otras palabras, la cantidad del rescate puede variar mucho según el valor de los datos capturados. Como regla general, no se recomienda confiar en los ciberdelincuentes y seguir sus demandas, ya que puede costarle simplemente una pérdida de dinero.

D3adCrypt cifra los datos almacenados en el sistema (con la .d3ad prórroga) y exige a las víctimas que paguen un rescate monetario por su devolución. Por ejemplo, un archivo como 1.pdf se convertirá 1.pdf.d3ad restableciendo su icono original también. También se está creando una nota de rescate (d3ad_Ayuda.txt) explicando a las víctimas cómo pueden devolver el acceso a los archivos. Se dice que las víctimas deben escribir un correo electrónico con su identificación personal a la dirección proporcionada d3add@tutanota.com. En caso de que nadie responda, hay un correo electrónico adicional que la víctima también debe contactar (propersolot@gmail.com). Los ciberdelincuentes concluyen el mensaje de rescate con advertencias contra el cambio de nombre de los archivos, el descifrado de archivos por su cuenta o el intento de involucrar la ayuda de entidades de terceros. Tenga en cuenta que el precio del descifrado se mantiene en secreto hasta que las víctimas establezcan más comunicación con los ciberdelincuentes. También es posible que el precio varíe dependiendo de cuánto daño informativo sufrieron las víctimas durante el cifrado. Por lo general, los expertos cibernéticos no recomiendan pagar el rescate: investigaciones exhaustivas muestran que muchos extorsionadores engañan a sus víctimas y no les brindan las herramientas de descifrado prometidas. Por desgracia, no hay formas viables de descifrar sus datos en el momento de escribir este artículo. Puede ser posible en el futuro, pero nadie puede decir cuándo. Puede probar algunas herramientas confiables y utilizadas a nivel mundial de nuestra guía a continuación, pero no hay garantía de que realmente puedan ayudar. Por ahora, la mejor manera de evitar pagar el rescate y recuperar sus datos al mismo tiempo es a través de copias de seguridad.

Descubierto por MalwareHunterTeam, Spark es un virus ransomware diseñado para mantener los archivos bajo llave y chantajear a las víctimas para que paguen dinero para devolverlos. Esto se hace a través del llamado proceso de encriptación cuando las infecciones de este tipo utilizan fuertes algoritmos de grado militar para generar cifrados. Como resultado, los datos ya no son accesibles para los usuarios. Las personas atacadas por Spark Ransomware verán que sus archivos cambian a algo como esto 1.pdf.Spark y restablecer sus iconos. Después de restringir todos los archivos de destino, el virus muestra una ventana emergente que contiene instrucciones de rescate. Los ciberdelincuentes dicen que el descifrado es imposible sin una clave privada especial. Esta es la razón por la que se guía a las víctimas para que compren la clave poniéndose en contacto con los desarrolladores a través de su dirección de correo electrónico (notvalidemailadress.ransom@gmail.com). Los estafadores también advierten contra hacer modificaciones a los archivos apagando la PC, lo que puede resultar en la pérdida permanente de datos y daños en el sistema también. Hay un temporizador, dentro del cual, las víctimas deben contactar a los desarrolladores y pagar por el descifrado. Sin embargo, los extorsionadores no especifican qué sucederá después de que expire el tiempo. Según otros análisis de ransomware, muchos fraudes amenazan con eliminar permanentemente los datos recopilados o filtrarlos a los recursos de la web oscura, aunque esto no prueba que este también sea el caso con Spart Ransowmare. Es desafortunado reconocerlo, pero es menos probable que encuentre una herramienta de descifrado que funcione al 100% para archivos .Spark.

Titáncriptografía es una infección de tipo ransomware. Cifra los datos almacenados en el sistema y exige a las víctimas que paguen un pequeño rescate de 20 zlotys polacos (alrededor de 4,5 dólares). Durante el cifrado, agrega el nuevo .titancrypt a cada archivo encriptado haciéndolo inaccesible. Por ejemplo, un archivo previamente titulado como 1.png cambiará a 1.png.titancrypt y perder su icono original. Las instrucciones sobre cómo pagar el dinero solicitado se pueden encontrar dentro de ___RECUPERAR__ARCHIVOS__.titancrypt.txt - un archivo de texto inyectado en cada carpeta con datos cifrados, incluido su escritorio. Junto con esto, muestra una ventana emergente que dice cuántos archivos se han cifrado. A diferencia de otras infecciones de este tipo, el actor de amenazas supuestamente polaco detrás de su Titancrypt Ransomware ha escrito instrucciones breves y claras sobre lo que deben hacer las víctimas. Se dice que lo contacta a través de su discordia (titanware # 1405) y envía 20 Zlotys polacos a través de PaySafeCard. Aunque el desarrollador del ransomware no da más detalles al respecto, el pago del rescate debería conducir lógicamente al descifrado completo de los datos. Muchas infecciones de ransomware (a diferencia de esta) piden rescates que van desde cientos hasta miles de dólares. Por lo tanto, los usuarios víctimas de Titancrypt Ransomware tuvieron algo de suerte ya que 4,5 dólares no es mucho dinero para muchos. Puede pagar esta cantidad y descifrar sus datos a menos que haya copias de seguridad disponibles. Si tiene una copia de seguridad de sus archivos cifrados en un almacenamiento externo, puede ignorar el pago del rescate y recuperarse de las copias de seguridad después de eliminar el virus.

GUCCI es el nombre de una infección de ransomware que se origina en el llamado Phobos familia. Lo que hace es cifrar los datos almacenados en el sistema, así como exigir el pago de dinero por el descifrado de archivos. Las víctimas podrán entender que sus archivos están bloqueados a través de una nueva apariencia de archivo. Por ejemplo, un archivo como 1.xlsx a 1.xlsx.id[9ECFA84E-3208].[tox].GUCCI. Los caracteres dentro de los nuevos nombres de archivo pueden variar según la identificación asignada a cada víctima. GUCCI Ransomware también crea dos archivos de texto: info.txt y info.hta ambos describen formas de devolver el acceso a los datos. Los ciberdelincuentes dicen que las víctimas pueden descifrar sus datos al negociar con ellos. En otras palabras, para comprar una herramienta de descifrado especial que desbloqueará el acceso a datos restringidos. Si bien el precio se mantiene en secreto, se guía a las víctimas para que se comuniquen con los estafadores a través del mensajero TOX. Después de esto, las víctimas recibirán más instrucciones sobre qué hacer y cómo comprar la herramienta (en Bitcoins). Además de esto, los desarrolladores ofrecen una oferta de 1 descifrado de archivos gratuito. Las víctimas pueden enviar un archivo cifrado sin valor y recibirlo completamente operativo de forma gratuita. Desafortunadamente, a pesar de cumplir con las demandas de pago, algunas víctimas de otras variantes de ransomware informaron que terminaron siendo engañadas y se fueron sin ningún descifrado prometido.

basta negra es el nombre de una infección de ransomware dirigida más a usuarios corporativos que ordinarios (empresas financieras, empresas privadas, etc.). Por lo tanto, utiliza estándares de cifrado de alto nivel para cifrar los datos almacenados en una red y hacer que ya no se pueda acceder a ellos. Las víctimas infectadas con este virus verán que sus datos cambian de la siguiente manera: 1.pdf a 1.pdf.basta, 1.xlsx a 1.xlsx.basta, y así sucesivamente con otros datos cifrados. Después de esto, Black Basta crea una nota de texto llamada readme.txt, que proporciona instrucciones sobre cómo recuperar los datos. Los fondos de escritorio predeterminados también serán reemplazados por el virus. Como se dice en la nota, las víctimas pueden iniciar el proceso de descifrado visitando el enlace Tor adjunto e iniciando sesión en el chat con el ID de su empresa. Yendo más allá, los ciberdelincuentes darán la información necesaria e instrucciones sobre cómo desarrollar el proceso. Algunas víctimas que informaron su caso de infección con Black Basta Ransomware mostraron que los ciberdelincuentes requieren 2 millones de dólares para pagar el descifrado. Tenga en cuenta que es probable que esta suma varíe según el tamaño de la empresa infectada y el valor de la información recopilada. Además de todo lo mencionado, los extorsionadores amenazan con que si las víctimas no negocian para llegar a un acuerdo exitoso o rechazan la oferta intencionalmente, todos los datos recopilados estarán sujetos a ser publicados en línea. A veces, el mayor peligro de infectarse no es perder datos, sino arriesgarse a perder la reputación de su empresa.