Los virus

Originario de Italia, juliano es un programa de tipo ransomware configurado con sólidos algoritmos criptográficos (AES-256) para ejecutar un cifrado seguro de datos. Al bloquear el acceso a archivos personales, los extorsionistas intentan engañar a las víctimas para que paguen dinero por el descifrado de datos. Las víctimas pueden detectar que sus archivos han sido encriptados simplemente mirando la extensión - el virus agrega la nueva extensión ".Giuliano" para resaltar los datos bloqueados. Esto significa un archivo como 1.pdf cambiará a 1.pdf.Giuliano y restablecer su icono original. La información sobre la recuperación de archivos se puede encontrar dentro de una nota de texto llamada README.txt. Las instrucciones de descifrado dentro de este archivo están representadas en italiano. Los ciberdelincuentes informan a las víctimas sobre una infección exitosa y las alientan a seguir las instrucciones enumeradas. Dicen que debe visitar una página de GitHub para completar algunos formularios. Después de esto, es probable que los desarrolladores de malware se pongan en contacto con sus víctimas y les pidan pagar un rescate. Por lo general, se solicita ejecutar el pago en BTC u otra criptomoneda utilizada por los desarrolladores. Por desgracia, los cifrados aplicados por Giuliano Ransomware son sólidos y apenas se pueden descifrar con herramientas de terceros. Por ahora, la mejor forma de recuperar sus archivos además de colaborar con estafadores es utilizar copias de seguridad.

Al ser un virus ransomware peligroso, Rook apunta al cifrado de datos e intenta chantajear a los usuarios para que paguen el rescate. El virus es fácil de distinguir de otras versiones, ya que asigna el .rook extensión a todos los datos bloqueados. Esto significa un archivo como 1.pdf cambiará a 1.pdf.rook y restablezca su ícono original luego de un cifrado exitoso. Inmediatamente después de esto, Rook Ransomware crea una nota de texto llamada HowToRestoreYourFiles.txt mostrando a los usuarios cómo pueden recuperar los datos. El contenido de la nota de texto dice que puede restaurar el acceso a todos los datos solo contactando a los estafadores y pagando el dinero del rescate. La comunicación debe establecerse por correo electrónico (rook@onionmail.org; securityRook@onionmail.org) o el enlace del navegador TOR adjunto a la nota. Al escribir un mensaje a los ciberdelincuentes, a las víctimas se les ofrece enviar hasta 3 archivos (no más de 1 Mb) y descifrarlos de forma gratuita. De esta manera, los ciberdelincuentes prueban las habilidades de descifrado junto con su confiabilidad hasta cierto punto. Además, si se comunica con extorsionistas dentro de los 3 días previstos, los ciberdelincuentes proporcionarán un descuento del 50% sobre el precio del descifrado. A menos que cumpla con esta fecha límite, los desarrolladores de Rook comenzarán a filtrar sus archivos a su red para abusar de ellos en las páginas de la darknet después. También dicen que ningún instrumento de terceros lo ayudará a recuperar los archivos.

HarpoonLocker es el nombre de una infección de ransomware reciente informada por usuarios en foros de malware. El virus ejecuta el cifrado de datos con algoritmos AES-256 y RSA-1024, lo que hace que todos los datos restringidos sean criptográficamente seguros. Como resultado de este cambio de configuración, los usuarios ya no podrán acceder a sus propios datos almacenados en dispositivos infectados. HarpoonLocker asigna el .locked extensión, que es comúnmente utilizada por muchas otras infecciones de ransomware. Esto hace que sea más genérico y, a veces, difícil de diferenciar de otras infecciones como esta. También crea una nota de texto (restore-files.txt) que contiene instrucciones de rescate. Los desarrolladores dicen que todos los datos se han cifrado y se han filtrado a sus servidores. La única forma de revertir esto y recuperar los archivos de forma segura es acordar el pago del rescate. Se indica a las víctimas que descarguen el mensajero qTOX y se pongan en contacto con los extorsionadores allí. También hay una opción para intentar descifrar 3 archivos bloqueados de forma gratuita. Esta es una garantía que brindan los ciberdelincuentes para demostrar que se puede confiar en ellos. Desafortunadamente, no hay otros contactos además de qTOX que las víctimas puedan usar para entablar una discusión con los ciberdelincuentes. Muchos investigadores cibernéticos bromearon diciendo que HarpoonLocker también debería llamarse Unnamed qTOX Ransomware ya que no hay nadie con quien las víctimas puedan hablar. Por esta y muchas otras razones, se recomienda encarecidamente no cumplir con los requisitos enumerados y pagar el rescate. Muy a menudo, los ciberdelincuentes engañan a sus víctimas y no envían ninguna herramienta de descifrado incluso después de recibir el dinero.

Primero encontrado e investigado por un experto independiente llamado S! R! NoCry es un programa de ransomware diseñado para ejecutar el cifrado de datos. Es un esquema muy popular empleado por los desarrolladores de ransomware para extorsionar a las víctimas tras la restricción exitosa de datos. Por ahora, hay dos versiones conocidas de NoCry que se diferencian por las extensiones asignadas a los datos bloqueados. Es bien .Cry or .IHA extensión que se agregará a los archivos cifrados. Por ejemplo, 1.pdf cambiará su apariencia a 1.pdf.Cry or 1.pdf.IHA y restablezca su icono de acceso directo en blanco después de verse afectado por malware. Los extorsionistas detrás de NoCry Ransomware exigen el pago por devolver los datos a través de un archivo HTML llamado How To Decrypt My Files.html. También fuerza la apertura de una ventana emergente con la que las víctimas pueden interactuar para enviar el rescate y descifrar sus datos. El contenido de ambos es idéntico e informa a las víctimas sobre lo mismo. NoCry da alrededor de 72 horas para enviar 100 $ en BTC a la dirección de cifrado adjunta. Si no se entregará dinero dentro del plazo asignado, NoCry eliminará sus archivos para siempre. Esta es una estrategia de intimidación destinada a apresurar a las víctimas y pagar el rescate exigido más rápido.

rescate ahora es otro virus de cifrado de archivos emitido por los ciberdelincuentes para extorsionar a víctimas desesperadas. Es muy similar al ya discutido Polaris ransomware ya que ejecuta el mismo patrón de cifrado con algoritmos AES y RSA. Otra similitud compartida entre estos ataques de ransomware es que no adjuntan ninguna extensión nueva a los datos cifrados. A pesar de que los archivos no experimentan ningún cambio visual significativo, los usuarios aún no podrán abrirlos. El virus también crea un archivo de texto llamado LÉAME PARA DESBLOQUEAR ARCHIVOS.txt que cuenta con instrucciones de descifrado. Los desarrolladores dicen que las víctimas pueden restaurar los datos solo comprando una clave especial. El precio a pagar es igual a 0.0044 BTC, que es aproximadamente 250 $ al momento de escribir este artículo. Tenga en cuenta que las tasas de las criptomonedas siempre cambian, por lo que existe la posibilidad de que tenga que pagar más o menos incluso mañana. Después de enviar la cantidad necesaria de BTC, los usuarios deben entregar la prueba de la transacción a la dirección de correo electrónico adjunta (ransomnow@yandex.ru). Además de eso, los delincuentes enumeran un par de recursos donde comprar la criptomoneda requerida, si es nuevo en el mundo de las criptomonedas. También se advierte fuertemente contra la ejecución de manipulaciones con archivos usted mismo o con la ayuda de herramientas de terceros.

Descubierto por MalwareHunterTeam, AnarquíaGrabber es un tipo de virus diseñado para Discord usuarios. Está destinado a alterar el index.js archivo dentro del directorio de Discord (%AppData%\Discord\[version]\modules\discord_desktop_core\) y secuestrar sus datos. Al cambiar el código interno del archivo original, permite a los ciberdelincuentes cargar archivos JavaScript maliciosos. Este archivo debe contener solo una línea: module.exports = require('./core.asar');. Todo lo demás es de un troyano. Para deshacerse del malware, desinstale Discord, luego busque el %AppData%\Roaming\discord directorio (si existe, elimínelo) y luego reinstale el cliente. Si esto no ayuda, lea la guía completa a continuación. Por lo tanto, cuando los usuarios inician sesión en su cuenta de Discord, los extorsionistas reciben acceso a sus contactos, cuentas, servidores, mensajes y otro contenido basado en la discordia. A menudo, es difícil detectar AnarchyGrabber ya que oculta su actividad detrás de los archivos de Discord que son ignorados por el software anti-malware. Si no puede eliminarlo manualmente, lo ayudaremos a hacerlo a continuación.

Descafeinado está categorizado como un programa de ransomware diseñado para chantajear a las víctimas para que paguen dinero por la recuperación de datos bloqueados. Sus primeros ataques se registraron a principios de noviembre de 2021 y continúan ocurriendo en múltiples usuarios. El virus emplea su propia extensión llamada .descafeinado que se asigna durante el cifrado. Un ejemplo de cómo les gustaría a los archivos cifrados después del cifrado es este "1.pdf.decaf". Es imposible hacer parpadear la infección porque todos los archivos pierden su accesibilidad y sus iconos también. Tras la instalación exitosa de cifrados criptográficos, Decaf crea una nota de texto llamada README.txt que contiene información sobre cómo recuperar sus datos. Los ciberdelincuentes dicen que todos los datos del servidor y de la PC se han cifrado con algoritmos sólidos que impiden el descifrado de terceros. La única forma posible de restaurar el acceso a todos los datos es utilizar un descifrador "universal" especial almacenado por los extorsionistas. Para obtener más instrucciones sobre el descifrado, las víctimas deben escribir a la dirección de correo electrónico adjunta (22eb687475f2c5ca30b@protonmail.com). A partir de ahí, probablemente se le informará sobre el precio del software de descifrado y las formas de obtenerlo. Como regla general, los ciberdelincuentes solicitan a sus víctimas que envíen diferentes cantidades de dinero en alguna criptomoneda a sus billeteras. El rango puede fluctuar de cientos a miles de dólares para la restauración de datos.

Polaris es un programa de ransomware que utiliza una combinación de algoritmos AES y RSA para cifrar los datos de los usuarios. A diferencia de otras infecciones de este tipo, Polaris no añade ninguna extensión a los archivos cifrados. Lo único que cambia es la accesibilidad a los archivos: las víctimas ya no pueden abrir los datos almacenados. Para resolver esto, los desarrolladores de Polaris alientan a sus víctimas a leer las instrucciones de recuperación en un archivo llamado ADVERTENCIA.txt. La nota de texto se crea al final del cifrado y dice que debe comunicarse con los extorsionadores mediante la comunicación por correo electrónico (pol.aris@opentrash.com or pol.aris@tutanota.com). También hay una opción para agregar ciberdelincuentes en Discord. Al escribir un mensaje, las víctimas deben indicar el nombre de la empresa que fue atacada. Esta es una pista de que Polaris apunta a las redes comerciales para que puedan pagar el rescate requerido. El consejo más común que puede ver en la web con respecto a los pagos de rescate es evitarlos al máximo. Esto es cierto porque muchos ciberdelincuentes tienden a engañar a sus víctimas y, finalmente, no envían ninguna herramienta de descifrado.