Los virus

Pay Ransomware es, en otras palabras, un cifrador de archivos que evita que los usuarios accedan a sus propios datos. Una investigación reciente confirmó que este virus pertenece a un grupo de desarrolladores de ransomware conocido como Xorist. Al igual que otras infecciones de este tipo, el virus cambia todos los archivos encriptados usando el .Pay extensión. Para ilustrar, un archivo llamado 1.pdf cambiará a 1.pdf.Pay y restablecer su icono original también. Después de hacer las cosas con el cifrado, Pay Ransomware muestra una ventana emergente y crea un archivo de texto titulado HOW TO DECRYPT FILES.txt. Ambos contienen información idéntica sobre cómo devolver el acceso a los archivos. Se dice que las víctimas pueden restablecer el acceso a los archivos pagando 50 $ a la dirección de Bitcoin de los ciberdelincuentes. Una vez completado, las víctimas deberán contactar a los extorsionadores a través del cliente qTox y recibir su código de descifrado. También hay una advertencia de que 5 intentos fallidos de ingresar el código correcto resultarán en la destrucción irreversible de los datos. Después de esto, los estafadores alientan a las víctimas a tener más cuidado al hacer lo mencionado anteriormente. Además, también se dice que ningún software de terceros como el antivirus ayudará, sino que solo evitará un mayor descifrado de los datos. Desafortunadamente, lo que describen en sus mensajes puede ser cierto: algunos ciberdelincuentes configuran una protección contra los intentos manuales de descifrar los datos bloqueados. En tal caso, la única opción, si necesita restaurar sus archivos, es pagar el rescate requerido o usar sus propias copias de seguridad del almacenamiento externo para compensar la pérdida.

CryptBIT cifra los archivos almacenados en el sistema para que ya no estén accesibles y también exige a las víctimas que paguen 400 EUR por el descifrado de datos. Por lo tanto, las infecciones que funcionan de esta manera se clasifican como ransomware. Durante el cifrado, CryptBIT resalta los datos bloqueados agregando una nueva extensión (.cryptbit). En otras palabras, un archivo como 1.pdf cambiará a 1.pdf.cryptbit y restablecer su icono original también. El mismo cambio ocurrirá con otros tipos de archivos cifrados por ransomware. El virus también cambia los fondos de escritorio y crea un archivo de texto llamado CryptBIT-restore-files.txt en cada carpeta cifrada. Este archivo instruye a las víctimas sobre cómo descifrar sus datos. La nota muestra texto que indica que todos los archivos se cifraron y cargaron en servidores externos. Por lo tanto, se dice que las víctimas pueden recuperar sus datos, pero deben enviar 400 EUR (en bitcoins) a la dirección criptográfica adjunta. Los ciberdelincuentes también solicitan incluir la dirección de correo electrónico de la víctima, a la que prometen enviar el descifrador de archivos necesario. Desafortunadamente, no está claro cómo deben hacerlo las víctimas. Al realizar transferencias de criptomonedas, a menudo (si no siempre) es imposible incluir información adicional como el correo electrónico. Por lo tanto, tales malentendidos técnicos ya dan fuertes razones para no confiar en los ciberdelincuentes detrás de CryptBIT Ransomware. También es posible que este ransomware sea solo una versión piloto y que los ciberdelincuentes distribuyan ransomware actualizado algún día en el futuro. Sea lo que sea, no siempre se recomienda pagar el rescate.

Dllhost.exe es una pieza de software malicioso que se enmascara bajo dllhost.exe (COM Surrogate), un proceso legítimo e importante de Windows que se ejecuta de forma predeterminada dentro de cada sistema. Al hacerlo, el virus intenta evitar que los usuarios piensen que es algo sospechoso. También es posible ver una serie de procesos dllhost.exe genuinos en el Administrador de tareas que consumen toneladas de recursos de la CPU. Por ejemplo, se sabe que un troyano llamado Poweliks explota el proceso legítimo para ejecutar su trabajo sucio. El malware del que hablamos hoy crea un proceso falso separado para ejecutar sus tareas no deseadas. Se descubrió que los usuarios afectados ven sitios web forzados a abrir como páginas para adultos, casinos, apuestas, phishing, estafas, pornografía y otros tipos de recursos que promueven contenido potencialmente peligroso. La lista de posibles funciones de malware no termina solo con forzar redireccionamientos. Dichas infecciones pueden abarcar funciones de grabación de pantalla/audio, memorización de pulsaciones de teclas, espionaje de datos confidenciales, instalación de programas maliciosos como criptomineros y otras cosas similares. Si sospecha que está infectado con malware enmascarado Dllhost.exe, asegúrese de seguir nuestro tutorial a continuación para detectarlo y eliminarlo de inmediato.

Kekware es un virus reciente de tipo ransomware. El síntoma principal de esta infección que viola con éxito el sistema es un fuerte cifrado de datos. Como resultado, los usuarios ya no podrán acceder a los archivos ni modificarlos como solían hacerlo anteriormente. Las víctimas también verán un cambio en la forma en que aparecen sus datos: todas las muestras cifradas se renombran de acuerdo con el siguiente patrón: [cadena_aleatoria].[extensión_original][cadena_aleatoria].cyn. Para ilustrar, un archivo como 1.pdf puede cambiar a algo como 7462.jpg7088.cyn y restablecer su icono original también. Una vez realizada esta parte del cifrado, el virus crea un archivo llamado YcynNote.txt, que contiene instrucciones de descifrado. Como se dice en la nota, las víctimas deben pagar un rescate de $ 500 en bitcoins a la billetera de criptomonedas adjunta. Si las víctimas deciden no seguir las demandas, los ciberdelincuentes dicen que nunca será posible descifrar los datos sin su participación. Desafortunadamente, en el momento de escribir este artículo, esta afirmación debe tomarse muy en serio. Si no tiene copias de seguridad de los datos guardados en dispositivos de almacenamiento externo, tendrá la mínima oportunidad de descifrar los datos de Kekware con herramientas de terceros.

NOKOYAWA es una infección clasificada como ransomware que ejecuta el cifrado de datos y chantajea a las víctimas para que paguen dinero por su recuperación. Un informe publicado por Trend Micro presentó rasgos de ataque similares de NOKOYAWA Ransomware a Hive, un grupo de desarrolladores generalizado y disruptivo que violó más de 300 organizaciones en solo unos meses. Los ciberdelincuentes detrás de NOKOYAWA Ransomware usan el .NOKOYAWA extensión para cambiar el nombre de los datos de destino. Por ejemplo, un archivo como 1.xlsx cambiará su nombre a 1.xlsx.NOKOYAWA y restablecer el icono original también. Por lo tanto, el cifrado exitoso es seguido por la creación de una nota de rescate: el NOKOYAWA_readme.txt el archivo llega al escritorio. Dentro de esta nota, los ciberdelincuentes intentan convencer a las víctimas para que opten por el descifrado pagado. Duplican información en inglés y chino orientando a contactar a los extorsionadores a través de una de sus direcciones de correo electrónico (brookslambert@protonmail.com or sheppardarmstrong@tutanota.com). Si las víctimas rechazan sus sugerencias, los estafadores amenazan con publicar, como dicen, "mierda negra" en recursos de acceso abierto. El precio del descifrado se mantiene en secreto hasta que las víctimas establecen el contacto y también es probable que se evalúe individualmente para cada víctima. En otras palabras, la cantidad del rescate puede variar mucho según el valor de los datos capturados. Como regla general, no se recomienda confiar en los ciberdelincuentes y seguir sus demandas, ya que puede costarle simplemente una pérdida de dinero.

D3adCrypt cifra los datos almacenados en el sistema (con la .d3ad prórroga) y exige a las víctimas que paguen un rescate monetario por su devolución. Por ejemplo, un archivo como 1.pdf se convertirá 1.pdf.d3ad restableciendo su icono original también. También se está creando una nota de rescate (d3ad_Ayuda.txt) explicando a las víctimas cómo pueden devolver el acceso a los archivos. Se dice que las víctimas deben escribir un correo electrónico con su identificación personal a la dirección proporcionada d3add@tutanota.com. En caso de que nadie responda, hay un correo electrónico adicional que la víctima también debe contactar (propersolot@gmail.com). Los ciberdelincuentes concluyen el mensaje de rescate con advertencias contra el cambio de nombre de los archivos, el descifrado de archivos por su cuenta o el intento de involucrar la ayuda de entidades de terceros. Tenga en cuenta que el precio del descifrado se mantiene en secreto hasta que las víctimas establezcan más comunicación con los ciberdelincuentes. También es posible que el precio varíe dependiendo de cuánto daño informativo sufrieron las víctimas durante el cifrado. Por lo general, los expertos cibernéticos no recomiendan pagar el rescate: investigaciones exhaustivas muestran que muchos extorsionadores engañan a sus víctimas y no les brindan las herramientas de descifrado prometidas. Por desgracia, no hay formas viables de descifrar sus datos en el momento de escribir este artículo. Puede ser posible en el futuro, pero nadie puede decir cuándo. Puede probar algunas herramientas confiables y utilizadas a nivel mundial de nuestra guía a continuación, pero no hay garantía de que realmente puedan ayudar. Por ahora, la mejor manera de evitar pagar el rescate y recuperar sus datos al mismo tiempo es a través de copias de seguridad.

Descubierto por MalwareHunterTeam, Spark es un virus ransomware diseñado para mantener los archivos bajo llave y chantajear a las víctimas para que paguen dinero para devolverlos. Esto se hace a través del llamado proceso de encriptación cuando las infecciones de este tipo utilizan fuertes algoritmos de grado militar para generar cifrados. Como resultado, los datos ya no son accesibles para los usuarios. Las personas atacadas por Spark Ransomware verán que sus archivos cambian a algo como esto 1.pdf.Spark y restablecer sus iconos. Después de restringir todos los archivos de destino, el virus muestra una ventana emergente que contiene instrucciones de rescate. Los ciberdelincuentes dicen que el descifrado es imposible sin una clave privada especial. Esta es la razón por la que se guía a las víctimas para que compren la clave poniéndose en contacto con los desarrolladores a través de su dirección de correo electrónico (notvalidemailadress.ransom@gmail.com). Los estafadores también advierten contra hacer modificaciones a los archivos apagando la PC, lo que puede resultar en la pérdida permanente de datos y daños en el sistema también. Hay un temporizador, dentro del cual, las víctimas deben contactar a los desarrolladores y pagar por el descifrado. Sin embargo, los extorsionadores no especifican qué sucederá después de que expire el tiempo. Según otros análisis de ransomware, muchos fraudes amenazan con eliminar permanentemente los datos recopilados o filtrarlos a los recursos de la web oscura, aunque esto no prueba que este también sea el caso con Spart Ransowmare. Es desafortunado reconocerlo, pero es menos probable que encuentre una herramienta de descifrado que funcione al 100% para archivos .Spark.

Titáncriptografía es una infección de tipo ransomware. Cifra los datos almacenados en el sistema y exige a las víctimas que paguen un pequeño rescate de 20 zlotys polacos (alrededor de 4,5 dólares). Durante el cifrado, agrega el nuevo .titancrypt a cada archivo encriptado haciéndolo inaccesible. Por ejemplo, un archivo previamente titulado como 1.png cambiará a 1.png.titancrypt y perder su icono original. Las instrucciones sobre cómo pagar el dinero solicitado se pueden encontrar dentro de ___RECUPERAR__ARCHIVOS__.titancrypt.txt - un archivo de texto inyectado en cada carpeta con datos cifrados, incluido su escritorio. Junto con esto, muestra una ventana emergente que dice cuántos archivos se han cifrado. A diferencia de otras infecciones de este tipo, el actor de amenazas supuestamente polaco detrás de su Titancrypt Ransomware ha escrito instrucciones breves y claras sobre lo que deben hacer las víctimas. Se dice que lo contacta a través de su discordia (titanware # 1405) y envía 20 Zlotys polacos a través de PaySafeCard. Aunque el desarrollador del ransomware no da más detalles al respecto, el pago del rescate debería conducir lógicamente al descifrado completo de los datos. Muchas infecciones de ransomware (a diferencia de esta) piden rescates que van desde cientos hasta miles de dólares. Por lo tanto, los usuarios víctimas de Titancrypt Ransomware tuvieron algo de suerte ya que 4,5 dólares no es mucho dinero para muchos. Puede pagar esta cantidad y descifrar sus datos a menos que haya copias de seguridad disponibles. Si tiene una copia de seguridad de sus archivos cifrados en un almacenamiento externo, puede ignorar el pago del rescate y recuperarse de las copias de seguridad después de eliminar el virus.