Los virus

Kashima (Kashima Ware) es un programa ransomware, el tipo de software malicioso diseñado para cifrar datos y exigir dinero a cambio de su devolución. A diferencia de otras infecciones de este tipo, el virus se dirige a formatos de archivo específicos y bastante inusuales: .config, .cfg, .js, .NOOB, .lua, .lwy .tryme así como. Por lo tanto, los modifica con el .KASHIMA extensión. Por ejemplo, un archivo como 1.js cambiará a 1.js.KASHIMA, 1.cfg a 1.cfg.KASHIMA y así sucesivamente con otros datos afectados. Tan pronto como se completa este proceso, Kashima muestra un mensaje emergente (¡ADVERTENCIA!) en toda la pantalla.

También conocido como hoja de zorro, Limpiaparabrisas hermético es un virus devastador diseñado para borrar los datos almacenados en el sistema y evitar que las máquinas respondan o funcionen por completo. El malware con tales capacidades generalmente se conoce como limpiadores de disco. HermeticWiper fue descubierto atacando organismos gubernamentales y estructuras comerciales en Ucrania el 24 de febrero. Muchos investigadores creen que HermeticWiper recibió este nombre en base a un certificado digital robado de una empresa llamada Hermetica Digital Ltd. Este certificado permite que el virus se disfrace como software legítimo para eludir la detección de Windows. Tras una infiltración exitosa, HermeticWiper corrompe la mayoría de los datos almacenados y también elimina las instantáneas de Windows. Esta funcionalidad conduce a la pérdida permanente de datos, lo que hace que las víctimas no puedan recuperarlos después. Como se mencionó, HermeticWiper hace que los sistemas infectados sean prácticamente inutilizables; lo hace al interrumpir el Master Boot Record (MBR), un sector importante de Windows responsable de iniciar correctamente el sistema. Mientras HermeticWiper tenga el control de su sistema, puede hacer casi lo que quiera: instalar malware adicional, lanzar ataques DDoS, grabar pulsaciones de teclas, audio, video, abusar de los recursos del sistema para extraer criptomonedas, implementar comandos remotos y muchas otras acciones disruptivas. HermeticWiper no es el único, sino uno de los pocos virus distribuidos dentro de esta campaña geopolítica en Ucrania.

Lo siento, es solo un negocio es el nombre de un virus ransomware. Al igual que otras infecciones de este tipo, encripta datos personales y chantajea a las víctimas para que paguen un rescate. El proceso de cifrado se puede detectar fácilmente mirando los archivos afectados. Sorryitsjustbusiness cambia sus extensiones originales a caracteres aleatorios y restablece los íconos en blanco. Para ilustrar, un archivo como 1.pdf puede cambiar a 1.pdf.ws9y, 1.png a 1.png.kqfb, y así sucesivamente con otras extensiones y archivos aleatorios. Después de un cifrado exitoso, el virus crea una nota de texto llamada read_it.txt e instala nuevos fondos de escritorio. Tanto la nota de texto como los fondos de pantalla muestran información sobre cómo recuperar los datos. Se dice que las víctimas deben comprar una clave exclusiva para descifrar sus archivos. El costo de esta clave es la friolera de 150,000 XNUMX $ que se pagarán en Bitcoin a la dirección criptográfica adjunta. Una vez realizada la transferencia, las víctimas deben informar a los estafadores enviando un mensaje a su dirección de correo electrónico (lo siento, es solo un negocio@protonmail.com). Si las víctimas no hacen esto dentro de las 24 horas posteriores a la infección, el precio del descifrado se duplicará. También se menciona que los archivos cifrados se eliminarán después de 48 horas de inacción de las víctimas. En función de la cantidad de rescate exigida, podemos suponer que el objetivo de Sorryitsjustbusiness se fija en empresas con un buen nivel de ganancias. Como regla general, no se recomienda confiar en los ciberdelincuentes y pagar el rescate que quieren.

Ser parte de la polvo familia, TAQUILLA ANUBIZ es una infección de ransomware diseñada para cifrar datos. Lo hace mediante el uso de algoritmos de cifrado seguro y la modificación de los nombres de los datos afectados con el .lomer extensión. Para ilustrar, un archivo llamado 1.pdf cambiará a 1.pdf.lomer y restablezca su icono original en blanco. Después de restringir con éxito el acceso a los datos, el virus chantajea a las víctimas para que paguen un rescate. Esto se hace a través de la How To Restore Your Files.txt archivo de texto que se crea en dispositivos comprometidos. El archivo dice que todos los archivos valiosos se cifraron y copiaron en los servidores de los ciberdelincuentes, y también se eliminaron todas las copias de seguridad. Las víctimas pueden potencialmente restaurar sus datos comprando un software de descifrado especial ofrecido por los atacantes. Se guía para establecer contacto con los ciberdelincuentes utilizando su dirección de correo electrónico para obtener más detalles sobre el descifrado. Los usuarios infectados también pueden adjuntar un archivo en su mensaje y descifrarlo de forma gratuita. Si las víctimas ignoran estas solicitudes y se demoran en pagar el rescate, los ciberdelincuentes amenazan con comenzar a filtrar los archivos recopilados a los recursos de la web oscura.

Qmam4 es una infección de alto riesgo categorizada como criptovirus. La razón por la que se llama así radica en su comportamiento posterior al ataque: el virus exige a las víctimas que paguen una suma de dinero en criptomonedas al bloquear el acceso a los datos. Estas infecciones también se conocen como ransomware. Encriptan datos personales y chantajean a las víctimas para que paguen el rescate. Durante el cifrado, Qmam4 adjunta una cadena de caracteres aleatorios y el nuevo .qmam4 extensión a cada archivo afectado. Por ejemplo, 1.pdf cambiará a 1.pdf.{random sequence}.qmam4 dejando de ser accesible. Después de esto, Qmam4 crea un archivo de texto llamado C3QW_HOW_TO_DECRYPT.txt que ilustra cómo las víctimas pueden desbloquear sus datos. Se dice que las víctimas pueden descifrar y evitar que se vendan datos importantes en los recursos de la web oscura. Para ello, se indica a las víctimas que se pongan en contacto con los ciberdelincuentes mediante el enlace Tor. Después de ponerse en contacto con los desarrolladores, supuestamente le dirán que envíe dinero en criptomoneda y luego recupere una herramienta especial de descifrado. Si las víctimas se niegan a seguir las instrucciones, los datos recopilados se filtrarán a manos de terceros. Desafortunadamente, la colaboración con los ciberdelincuentes podría ser la única forma de descifrar sus datos y evitar la filtración pública de datos. Es menos probable que alguna herramienta de terceros pueda descifrar sus datos de forma gratuita sin la ayuda de atacantes.

ALBASA es un virus de tipo ransomware diseñado para encriptar datos almacenados en el sistema y chantajear a las víctimas para que paguen dinero por su devolución. Durante el cifrado, todos los archivos adquieren la nueva .ALBASA extensión y restablece sus íconos originales en blanco. Esto también va acompañado de la creación de RESTORE_FILES_INFO.txt - una nota de texto que contiene instrucciones sobre cómo recuperar los datos bloqueados.

comedor es una infección de ransomware que se descubrió recientemente. Cifra archivos personales agregando el .cantopen extensión y la creación de la HELP_DECRYPT_YOUR_FILES.txt archivo de texto para chantajear a las víctimas para que paguen el rescate. Para ilustrar, un archivo llamado 1.pdf será alterado a 1.pdf.cantopen y suelte su icono de acceso directo original. Dicho cambio se aplicará a todos los datos específicos, por lo que ya no se podrá acceder a ellos.

Negro es el nombre de una infección de ransomware que se descubrió recientemente. Está desarrollado para ejecutar el cifrado de datos y chantajear a las víctimas para que paguen dinero por su devolución. Las víctimas pueden detectar el descifrado exitoso simplemente mirando sus archivos; la mayoría de ellos se cambiarán usando el .black extensión y perder los iconos originales. Para dar un ejemplo, 1.pdf será alterado a 1.pdf.black, 1.png a 1.png.black, y así sucesivamente con el resto de los archivos de destino. Luego, tan pronto como se realiza esta parte del cifrado, el virus presenta instrucciones de descifrado dentro de una nota de texto (read_me.txt).