Los virus

RansomHub Ransomware es un tipo de software malicioso que se incluye en la categoría de virus de cifrado de archivos. Está diseñado para infiltrarse en sistemas informáticos, cifrar archivos y exigir un rescate por la clave de descifrado. A diferencia del ransomware tradicional, que cifra archivos y exige un pago, RansomHouse, que está asociado con RansomHub, se centra en violar redes a través de vulnerabilidades para robar datos y obligar a las víctimas a pagar sin necesariamente utilizar cifrado. RansomHub ransomware puede agregar varias extensiones de archivo a los archivos cifrados, como .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky o una extensión de 6 a 7 caracteres aleatorios. Los algoritmos de cifrado específicos utilizados por RansomHub no se detallan, pero el ransomware suele emplear métodos de cifrado sólidos como AES o RSA para evitar el descifrado no autorizado. RansomHub crea notas de rescate con instrucciones para las víctimas sobre cómo pagar el rescate y potencialmente recuperar sus archivos. Los nombres de archivos de notas de rescate comunes incluyen README_{cadena-aleatoria}.txty varios otros. La ubicación de la nota de rescate suele estar dentro de los directorios de archivos cifrados.

BlackLegion Ransomware es un tipo de software malicioso diseñado para cifrar archivos en la computadora de una víctima, haciéndolos inaccesibles y luego exigiendo un rescate por la clave de descifrado. Una vez instalado en una computadora, BlackLegion cifra los archivos y agrega una extensión única a los nombres de los archivos. Cualquier archivo cifrado con BlackLegion Ransomware tendrá 8 caracteres aleatorios seguidos del correo electrónico de la víctima y el .BlackLegion extensión. Por ejemplo, un archivo llamado photo.jpg podría cambiarse el nombre a photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion después del cifrado. BlackLegion crea una demanda de rescate en forma de un archivo de texto, normalmente llamado DecryptNote.txt o una variante del mismo. Esta nota incluye instrucciones sobre cómo pagar el rescate, generalmente en criptomonedas, y puede ofrecer descifrar un solo archivo de forma gratuita como prueba de que los atacantes pueden restaurar los archivos de la víctima.

WantToCry Ransomware es un tipo de virus de cifrado, que es un subconjunto de malware que cifra archivos en la computadora de una víctima y exige un rescate por la clave de descifrado. Este criptor en particular apunta a dispositivos NAS. El ransomware WantToCry añade el .want_to_cry extensión de los archivos que cifra. Esto marca claramente qué archivos han sido comprometidos y son inaccesibles sin la clave de descifrado. Si bien el método de cifrado específico utilizado por WantToCry no se detalla en la fuente proporcionada, el ransomware generalmente utiliza algoritmos de cifrado sólidos como AES (Advanced Encryption Standard) o RSA (Rivest–Shamir–Adleman) para bloquear archivos, haciéndolos inaccesibles sin una clave de descifrado única. . Es un criptovirus que bloquea archivos y obliga a las víctimas a pagar para recuperar el acceso a sus datos. WantToCry crea una nota de rescate llamada !want_to_cry.txt que queda en la computadora de la víctima. Esta nota informa a la víctima que sus datos han sido cifrados y proporciona instrucciones sobre cómo pagar el rescate, que está fijado en 300 dólares. Las víctimas reciben instrucciones de descargar e instalar qTOX, crear un perfil y ponerse en contacto con los ciberdelincuentes a través del chat de qTOX para concertar el pago.

Mallox Ransomware, también conocido como "TargetCompany" o "Fargo", es un software malicioso que cifra archivos en la computadora de la víctima y exige un rescate por la clave de descifrado. Ha estado activo desde mediados de 2021 y opera bajo un modelo de ransomware como servicio (RaaS), aprovechando foros y mercados clandestinos para reclutar afiliados y publicitar sus servicios. Mallox cifra archivos utilizando el algoritmo de cifrado ChaCha20 y agrega varias extensiones de archivo a los archivos cifrados, como .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx y otros. También utiliza los nombres de las víctimas como extensión en algunos casos. El ransomware deja caer una nota de rescate (HOW TO RESTORE FILES.txt) en cada directorio del disco de la víctima, explicando la infección y proporcionando información de contacto de los atacantes. La nota indica a las víctimas que envíen su identificación personal a la dirección de correo electrónico de los atacantes para recibir instrucciones de pago por la herramienta de descifrado.

Press Ransomware es un tipo de malware que pertenece a la categoría de cripto-ransomware, que está diseñado para cifrar datos en computadoras infectadas, haciendo que los archivos sean inaccesibles para los usuarios. Luego, los atacantes exigen el pago de un rescate a cambio de la clave de descifrado que permitiría a las víctimas recuperar el acceso a sus archivos cifrados. Después de cifrar los archivos, Press Ransomware agrega .press, .dwarf or .spfre extensiones a los nombres de archivos, haciéndolos fácilmente identificables. Por ejemplo, un archivo originalmente llamado 1.jpg sería renombrado a 1.jpg.press después del cifrado. El algoritmo de cifrado específico utilizado por Press Ransomware no se detalla en los resultados de búsqueda proporcionados, pero es común que dicho malware utilice métodos de cifrado sólidos como AES o RSA para evitar el descifrado no autorizado. Al finalizar el proceso de cifrado, Press Ransomware lanza una nota de rescate llamada RECOVERY NFO.txt en el ordenador de la víctima. Esta nota informa a la víctima que sus archivos han sido cifrados y que se han extraído datos confidenciales. Los atacantes amenazan con vender o filtrar en línea el contenido robado si no se paga el rescate. La nota también ofrece a la víctima la oportunidad de enviar un par de archivos cifrados a los atacantes para que los descifren de forma gratuita como prueba de que pueden descifrarlos.

DiskStation Security Ransomware es un tipo de malware dirigido específicamente a dispositivos Synology NAS (Network Attached Storage), que a menudo se utilizan para almacenar grandes cantidades de datos, incluidas copias de seguridad y archivos personales. El objetivo principal de este ransomware, como otros, es cifrar archivos en el sistema infectado y exigir un rescate a la víctima a cambio de la clave de descifrado. Las extensiones de archivo a las que apunta DiskStation Security Ransomware no se detallan en los resultados de búsqueda proporcionados. Sin embargo, el ransomware generalmente se dirige a una amplia gama de tipos de archivos, especialmente aquellos asociados con documentos, imágenes, vídeos y bases de datos importantes. El método de cifrado utilizado tampoco se especifica, pero el ransomware suele utilizar AES (Estándar de cifrado avanzado) por su solidez. Después del cifrado, el ransomware agrega extensiones aleatorias a los archivos. Tras el cifrado exitoso de los archivos, el ransomware suele dejar una nota de rescate (!!Read Me!!.txt) en el escritorio o dentro de los directorios afectados. Esta nota contiene instrucciones para la víctima sobre cómo pagar el rescate y, a menudo, incluye amenazas de destrucción o exposición de datos si no se cumplen las demandas.

RCRU64 Ransomware es un tipo de malware que cifra archivos en la computadora de una víctima y exige un rescate por la clave de descifrado. Se propaga principalmente a través de archivos adjuntos de correo electrónico en ataques de phishing, descargas de software malicioso y explotación de vulnerabilidades, particularmente a través de contraseñas débiles del Protocolo de escritorio remoto (RDP). RCRU64 cambia los nombres de los archivos cifrados agregando el ID de la víctima, la dirección de correo electrónico y una extensión específica. Las extensiones conocidas asociadas con RCRU64 incluyen .HM8 y otras variantes como ".TGH", ".03rK", ".q6BH" y ".IalG. El ransomware utiliza potentes algoritmos de cifrado para bloquear archivos en la computadora infectada. Si bien no se proporcionan detalles específicos sobre el método de cifrado en la En los resultados de búsqueda, el ransomware suele utilizar una combinación de cifrado simétrico (p. ej., AES) y asimétrico (p. ej., RSA) para proteger los archivos, lo que hace que el descifrado sin la clave sea casi imposible. RCRU64 crea notas de rescate denominadas Restore_Your_Files.txt y ReadMe.hta, que informan a las víctimas que sus archivos han sido cifrados y brindan instrucciones para el pago. Las notas advierten contra el intento de descifrar archivos de forma independiente y ofrecen descifrar algunos archivos como prueba antes de realizar el pago.

Proton es una infección ransomware. El propósito de este virus es ejecutar el cifrado de datos potencialmente críticos y luego exigir dinero para su descifrado completo. Mientras lo hace, Proton también cambia los archivos visualmente: un archivo afectado con adquisición kigatsu@tutanota.com dirección de correo electrónico, identificación de la víctima y .Proton or .kigatsu extensión para archivos cifrados. Por ejemplo, un archivo como 1.pdf se convertirá en algo como 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Después de este cambio, las víctimas ya no podrán acceder a sus archivos, independientemente de las modificaciones que se realicen. Después de esto, el virus deja caer el README.txt nota de texto, que contiene instrucciones de descifrado. Se dice que los datos de la víctima han sido cifrados (utilizando algoritmos AES y ECC) y robados por ciberdelincuentes. La palabra "robado" probablemente sugiere que los datos cifrados se han copiado a los servidores de los ciberdelincuentes y se puede abusar de ellos en cualquier momento a menos que se pague el rescate. Los actores de amenazas alientan a sus víctimas a comunicarse con ellos a través de Telegram o correo electrónico y comprar el servicio de descifrado. Además, las víctimas también pueden enviar un archivo (menos de 1 MB) y descifrarlo de forma gratuita. De esta manera, los ciberdelincuentes demuestran su confiabilidad y su capacidad de recuperar el acceso a los datos bloqueados. Al final del mensaje de rescate, los extorsionadores indican un par de advertencias sobre los riesgos de intentar descifrar archivos sin la ayuda de los desarrolladores de ransomware.