Los virus

Titáncriptografía es una infección de tipo ransomware. Cifra los datos almacenados en el sistema y exige a las víctimas que paguen un pequeño rescate de 20 zlotys polacos (alrededor de 4,5 dólares). Durante el cifrado, agrega el nuevo .titancrypt a cada archivo encriptado haciéndolo inaccesible. Por ejemplo, un archivo previamente titulado como 1.png cambiará a 1.png.titancrypt y perder su icono original. Las instrucciones sobre cómo pagar el dinero solicitado se pueden encontrar dentro de ___RECUPERAR__ARCHIVOS__.titancrypt.txt - un archivo de texto inyectado en cada carpeta con datos cifrados, incluido su escritorio. Junto con esto, muestra una ventana emergente que dice cuántos archivos se han cifrado. A diferencia de otras infecciones de este tipo, el actor de amenazas supuestamente polaco detrás de su Titancrypt Ransomware ha escrito instrucciones breves y claras sobre lo que deben hacer las víctimas. Se dice que lo contacta a través de su discordia (titanware # 1405) y envía 20 Zlotys polacos a través de PaySafeCard. Aunque el desarrollador del ransomware no da más detalles al respecto, el pago del rescate debería conducir lógicamente al descifrado completo de los datos. Muchas infecciones de ransomware (a diferencia de esta) piden rescates que van desde cientos hasta miles de dólares. Por lo tanto, los usuarios víctimas de Titancrypt Ransomware tuvieron algo de suerte ya que 4,5 dólares no es mucho dinero para muchos. Puede pagar esta cantidad y descifrar sus datos a menos que haya copias de seguridad disponibles. Si tiene una copia de seguridad de sus archivos cifrados en un almacenamiento externo, puede ignorar el pago del rescate y recuperarse de las copias de seguridad después de eliminar el virus.

GUCCI es el nombre de una infección de ransomware que se origina en el llamado Phobos familia. Lo que hace es cifrar los datos almacenados en el sistema, así como exigir el pago de dinero por el descifrado de archivos. Las víctimas podrán entender que sus archivos están bloqueados a través de una nueva apariencia de archivo. Por ejemplo, un archivo como 1.xlsx a 1.xlsx.id[9ECFA84E-3208].[tox].GUCCI. Los caracteres dentro de los nuevos nombres de archivo pueden variar según la identificación asignada a cada víctima. GUCCI Ransomware también crea dos archivos de texto: info.txt y info.hta ambos describen formas de devolver el acceso a los datos. Los ciberdelincuentes dicen que las víctimas pueden descifrar sus datos al negociar con ellos. En otras palabras, para comprar una herramienta de descifrado especial que desbloqueará el acceso a datos restringidos. Si bien el precio se mantiene en secreto, se guía a las víctimas para que se comuniquen con los estafadores a través del mensajero TOX. Después de esto, las víctimas recibirán más instrucciones sobre qué hacer y cómo comprar la herramienta (en Bitcoins). Además de esto, los desarrolladores ofrecen una oferta de 1 descifrado de archivos gratuito. Las víctimas pueden enviar un archivo cifrado sin valor y recibirlo completamente operativo de forma gratuita. Desafortunadamente, a pesar de cumplir con las demandas de pago, algunas víctimas de otras variantes de ransomware informaron que terminaron siendo engañadas y se fueron sin ningún descifrado prometido.

basta negra es el nombre de una infección de ransomware dirigida más a usuarios corporativos que ordinarios (empresas financieras, empresas privadas, etc.). Por lo tanto, utiliza estándares de cifrado de alto nivel para cifrar los datos almacenados en una red y hacer que ya no se pueda acceder a ellos. Las víctimas infectadas con este virus verán que sus datos cambian de la siguiente manera: 1.pdf a 1.pdf.basta, 1.xlsx a 1.xlsx.basta, y así sucesivamente con otros datos cifrados. Después de esto, Black Basta crea una nota de texto llamada readme.txt, que proporciona instrucciones sobre cómo recuperar los datos. Los fondos de escritorio predeterminados también serán reemplazados por el virus. Como se dice en la nota, las víctimas pueden iniciar el proceso de descifrado visitando el enlace Tor adjunto e iniciando sesión en el chat con el ID de su empresa. Yendo más allá, los ciberdelincuentes darán la información necesaria e instrucciones sobre cómo desarrollar el proceso. Algunas víctimas que informaron su caso de infección con Black Basta Ransomware mostraron que los ciberdelincuentes requieren 2 millones de dólares para pagar el descifrado. Tenga en cuenta que es probable que esta suma varíe según el tamaño de la empresa infectada y el valor de la información recopilada. Además de todo lo mencionado, los extorsionadores amenazan con que si las víctimas no negocian para llegar a un acuerdo exitoso o rechazan la oferta intencionalmente, todos los datos recopilados estarán sujetos a ser publicados en línea. A veces, el mayor peligro de infectarse no es perder datos, sino arriesgarse a perder la reputación de su empresa.

selena es una infección de ransomware disruptiva dirigida principalmente a redes comerciales. Cifra los datos almacenados en la red y exige a las víctimas que paguen un rescate monetario por su devolución. Durante el cifrado, Selena altera la forma en que aparecen los archivos originales: los archivos que ya no son accesibles adquieren una identificación de víctima generada de forma única, la dirección de correo electrónico de los ciberdelincuentes y el .selena extensión. Para ilustrar, un archivo inicialmente titulado como 1.xlsx cambiará a id[q2TQAj3U].[Selena@onionmail.org].1.xlsx.selena y restablezca su icono en blanco. Después de que este proceso llega a su fin, el ransomware crea un archivo llamado selena.txt, que es una nota de texto que explica cómo recuperar los archivos. Se dice que no hay forma de descifrar los datos restringidos que no sea negociar directamente con los ciberdelincuentes. Para obtener más información, se recomienda a las víctimas que escriban a una de las siguientes direcciones de correo electrónico (selena@onionmail.org o selena@cyberfear.com) e indiquen su identificación personal en el título. Para obtener el decodificador y las claves privadas necesarias, que desbloquearán el acceso a los datos, las víctimas deben pagar dinero (en bitcoins) por ello. El precio sigue siendo desconocido y es probable que se calcule individualmente solo después de contactar a los estafadores. Además, los ciberdelincuentes ofrecen a las víctimas enviar 2 archivos que no contienen información valiosa (menos de 5 MB) y obtener el descifrado de forma gratuita. Esta oferta funciona como una medida de garantía que demuestra que realmente pueden descifrar sus datos. Desafortunadamente, es menos probable que existan opciones para descifrar archivos sin la ayuda de ciberdelincuentes.

Pipikaki es una reciente y devastadora infección de ransomware reportada por las víctimas en los foros. El malware de este tipo también se conoce como criptovirus, diseñado para cifrar datos almacenados en el sistema y chantajear a las víctimas para que paguen dinero por su devolución. Pipikaki hace exactamente lo mismo al cambiar el nombre de los archivos seleccionados con la identificación de la víctima y .@PIPIKAKI extensión durante el cifrado. Por ejemplo, un archivo previamente nombrado 1.pdf cambiará a 2.pdf.[8A56562E].@PIPIKAKI o similar dependiendo de la identificación de la víctima. Las instrucciones sobre cómo devolver archivos restringidos se presentan dentro de un archivo llamado PODEMOS RECUPERAR TUS DATOS.txt. La nota de rescate guía a los usuarios a ponerse en contacto con los desarrolladores (a través de Skype, chat en vivo de ICQ o correo electrónico pipikaki@onionmail.org) y negociar la devolución de los datos. Como regla general, muchos ciberdelincuentes piden a sus víctimas que paguen una cierta cantidad de rescate monetario (la mayoría de las veces en criptomonedas). También se dice que el incumplimiento de lo que exigen los estafadores dará lugar a la publicación de todos los datos sensibles. Amenazan con filtrar información importante relacionada con el negocio (datos de clientes, facturas, informes anuales, etc.) que se recopiló de la máquina/red encriptada.

hachas es un virus ransomware. Las infecciones de este tipo están diseñadas para impedir que los usuarios accedan a sus datos personales. Esto se hace a través del llamado proceso de encriptación, generalmente seguido de intentos de chantajear a las víctimas para que paguen dinero por la devolución de datos. Después de atacar con éxito un sistema, Axxes cifra los archivos seleccionados y les cambia el nombre usando el .axxes extensión. Para ilustrar, un archivo regular como 1.png cambiará a 1.png.axxes y restablecer su icono también. El resto de los datos también se renombrará según el mismo patrón. A continuación, el virus crea dos archivos que contienen instrucciones de descifrado (RESTORE_FILES_INFO.hta y RESTORE_FILES_INFO.txt). Los ciberdelincuentes dicen que todos los datos relacionados con la empresa y los empleados se cifraron y cargaron en servidores externos. Si las víctimas se niegan a colaborar con los desarrolladores, estos últimos afirman que tienen derecho a publicar los datos de las víctimas en recursos especializados. Para evitar esto, se guía a las víctimas para que abran el navegador Tor en la dirección del sitio web adjunto y se comuniquen con los estafadores para pagar el descifrado. La página de la cebolla también muestra una serie de pestañas que incluyen lo que otras empresas ya se han visto comprometidas por el virus. Es desafortunado, pero por ahora, no hay medios gratuitos para descifrar archivos Axxes por completo. Además, cortar todos los extremos con los ciberdelincuentes definitivamente los motivará a filtrar los datos recopilados.

Recientemente descubierto por un investigador de malware llamado Petrovic, voy a hacer frente es una infección de ransomware capaz de cifrar los datos almacenados en el sistema. La investigación mostró que también elimina y reemplaza algunos datos con archivos aleatorios y sin sentido, que aparecen con el .lidiar extensión. Por otro lado, los archivos encriptados por GonnaCope no cambian en su apariencia y permanecen exactamente iguales pero ya no se puede acceder a ellos. Para recuperar el acceso a los archivos cifrados, los estafadores detrás del virus guían a las víctimas para que completen una transferencia de 100 $ (en Bitcoin) a la dirección criptográfica adjunta en el ReadMe.txt Nota. Además, también muestra una ventana cmd con información casi idéntica. Después de enviar el dinero, los desarrolladores de ransomware prometen proporcionar a sus víctimas una clave de descifrado para devolver los datos. Si se puede confiar en los ciberdelincuentes o no, nunca está libre de incertidumbre. En general, los estafadores tienen mala reputación ya que pueden engañarlo y no enviar las herramientas de descifrado prometidas al final. De cualquier manera, son las únicas figuras que tienen la capacidad de descifrar sus datos en este momento. Las víctimas pueden evitar pagar el rescate solo si hay copias de seguridad disponibles en dispositivos externos. De esta forma, se pueden utilizar para recuperar archivos cifrados y que ya no se pueden utilizar. Si no está a favor de pagar el rescate requerido y no tiene copias de seguridad para usar, aún puede usar herramientas de terceros; existe la posibilidad de que puedan ayudarlo en algunas circunstancias.

PARKER es el nombre de un programa ransomware diseñado para cifrar los datos de los usuarios y extorsionar a las víctimas. Es probable que sea un producto de los ciberdelincuentes que desarrollaron otros dos cifradores de archivos devastadores llamados zorn y MATILÁN. Al igual que ellos, PARKER crea el mismo RESTORE_FILES_INFO.txt nota de texto sobre cómo recuperar datos cifrados. Durante el cifrado, el virus cambia varios tipos de archivos potencialmente importantes en el siguiente patrón: desde 1.pdf a 1.pdf.PARKER y así sucesivamente con otros archivos almacenados en un sistema. Como resultado, este cambio hará que los archivos ya no se puedan utilizar sin una herramienta de descifrado especial, que debe comprarse a los ciberdelincuentes. A menos que las víctimas se comuniquen con los actores de amenazas a través de direcciones de contacto escritas y paguen el rescate monetario requerido dentro de los 3 días dados, este último amenaza con filtrar los datos recopilados a los recursos públicos. Esto conllevará el riesgo de desacreditar la información privada de la empresa, de la que pueden abusar los competidores u otras figuras fraudulentas. Aunque siempre se desaconseja colaborar con los ciberdelincuentes, es posible que sean las únicas figuras capaces de proporcionar un descifrado completo de los datos y una cierta garantía de no publicar información confidencial. Desafortunadamente, no existen herramientas de terceros que al menos puedan descifrar sus datos de forma gratuita. La mejor opción factible disponible es recuperar archivos cifrados a través de copias de seguridad almacenadas en dispositivos no infectados (por ejemplo, tarjetas flash USB, otras PC, la nube, etc.).