Los virus

FindNoteFile es el nombre de una infección de ransomware que comenzó su búsqueda de usuarios comerciales en junio de 2021. Al igual que otros programas maliciosos de este tipo, los desarrolladores utilizan algoritmos AES + RSA para cifrar los datos de las víctimas. FindNoteFile se ha encontrado distribuido en 3 versiones diferentes. La única gran diferencia entre ellos es el nombre de la extensión asignada a los archivos después del cifrado (.findnotefile, .findthenotefileo .reddot). Por ejemplo, un archivo inicialmente llamado 1.pdf cambiará su apariencia a 1.pdf.findnotefile, 1.pdf.findthenotefileo 1.pdf.reddot dependiendo de qué versión atacó su sistema. Luego, tan pronto como finaliza el cifrado, el virus crea una nota de texto llamada HOW_TO_RECOVER_MY_FILES.txt, que contiene instrucciones de rescate. El texto escrito en el interior está lleno de errores, sin embargo, todavía es fácil entender lo que los ciberdelincuentes quieren de sus víctimas.

GOLPE es un virus de tipo ransomware que cifra los datos personales para ganar dinero con los usuarios desesperados. En otras palabras, restringe el acceso a los datos y los mantiene bajo llave hasta que las víctimas paguen una determinada tarifa de rescate. Para que los usuarios detecten el cifrado, los desarrolladores cambian el nombre de los datos comprometidos utilizando el .golpe extensión. Para ilustrar, un archivo como 1.pdf será retitulado a 1.pdf.slam y restablecer su icono original (en algunos casos). Luego, una vez realizada esta parte del cifrado, SLAM abre una ventana que indica información sobre el virus. El texto rojo sobre fondo negro indica que todos los archivos se han cifrado. Para recuperarlos, se les pide a las víctimas que se pongan en contacto con los ciberdelincuentes mediante uno de los correos electrónicos adjuntos a la nota. A partir de entonces, se le darán las instrucciones necesarias para realizar una transferencia de rescate en dinero. Además de eso, se advierte a los usuarios que está prohibido apagar la PC o usar aplicaciones de Windows (por ejemplo, regedit, administrador de tareas, símbolo del sistema, etc.). De lo contrario, su PC se bloqueará y no podrá iniciarse hasta que el virus esté presente. Lo mismo sucederá a menos que se comunique con extorsionistas dentro de las 12 horas. En este punto de la investigación, los expertos cibernéticos aún no han podido encontrar una herramienta que pudiera proporcionar descifrado de datos de forma gratuita, sin involucrar a los ciberdelincuentes. Pagar el rescate también es un riesgo, ya que no hay garantía de que reciba sus archivos de vuelta. La única mejor manera en esta situación es eliminar SLAM Ransomware y recuperar sus datos a través de copias de seguridad. Si no los ha creado y almacenado en una ubicación separada antes de la infección, entonces es casi irreal descifrar sus archivos.

EpsilonRojo es otro virus de tipo ransomware que se dirige a los datos personales de los sistemas infectados. Una vez que encuentra el rango de datos que necesita (normalmente son bases de datos, estadísticas, documentos, etc.), el virus comienza a ejecutar el cifrado de datos con algoritmos AES + RSA. Es difícil detectar todo el proceso de cifrado de inmediato, ya que las víctimas se dan cuenta de la infección solo después de que todos los archivos hayan cambiado de nombre. Para ilustrar eso, echemos un vistazo al archivo llamado 1.pdf, que por lo tanto cambió su apariencia a 1.pdf.epsilonred. Tal cambio significa que ya no se permite acceder al archivo. Además de buscar datos sensibles, también se sabe que EpsilonRed altera la extensión de los archivos ejecutables y DLL, lo que puede impedir que se ejecuten correctamente. El virus también instala un par de archivos que bloquean las capas de protección, limpian los registros de eventos y afectan otras funciones de Windows una vez que la infección se ha infiltrado en el sistema. Al final del cifrado, EpsilonRed proporciona instrucciones de rescate presentadas dentro de una nota. El nombre del archivo puede variar individualmente, pero la mayoría de los usuarios informaron sobre CÓMO_RECOVER.EpsilonRed.txt y nota_de_rescate.txt notas de texto que se crean después del cifrado.

Gpay se conoce como un programa malicioso que ejecuta un cifrado seguro de datos sobre los datos almacenados mediante los algoritmos AES-256, RSA-2048 y CHACHA. Los ciberdelincuentes monetizan su software pidiendo a las víctimas que paguen dinero por el descifrado de datos. Antes de hacerlo, las víctimas se confunden en primer lugar acerca de los cambios repentinos en la apariencia del archivo. Esto se debe a que Gpay cambia el nombre de todos los archivos cifrados con la .gpay extensión. Para ilustrar, un archivo como 1.pdf será alterado a 1.pdf.gpay una vez finalizada la encriptación. Después de detectar este cambio, las víctimas también encontrarán un archivo llamado !!! HOW_TO_DECRYPT !!!. Mht dentro de todas las carpetas infectadas. El archivo conduce a una página web que muestra instrucciones de rescate. Se dice que puede enviar hasta 3 archivos para probar sus capacidades de descifrado de forma gratuita. Esto se puede hacer enviando sus archivos con identificación personal a las direcciones de correo electrónico gsupp@jitjat.org y gdata@msgden.com. Se debe hacer lo mismo para reclamar la dirección de pago y comprar las herramientas de descifrado. A menos que lo haga dentro de las 72 horas, es más probable que los ciberdelincuentes publiquen los datos secuestrados en plataformas relacionadas con la red oscura. Es por eso que quedar atrapado por Gpay es extremadamente peligroso ya que existe una gran amenaza a la privacidad. Dependiendo de cuál será el precio del descifrado de datos, las víctimas pueden decidir si lo necesitan o no.

Sacado a la luz por MalwareHunterTeam, Darkside es un programa malicioso que cifra datos valiosos para exigir dinero a las víctimas. Todas las redes relacionadas con datos que han estado expuestos a este virus serán escaneadas y bloqueadas para el acceso regular. Al igual que otras infecciones de ransomware, DarkSide agrega una extensión única al final de cada archivo cifrado. Para ser más específico, agrega la identificación personal generada aleatoriamente para cada una de las víctimas. Para ilustrarlo, es más probable que vea que sus archivos cambian de 1.xlsx a 1.xlsx.d0ac7d95, o de manera similar, dependiendo de la identificación que se le haya asignado. Luego, tan pronto como finaliza esta parte del proceso, los ciberdelincuentes crean una nota de texto con instrucciones de descifrado (README. [Victim's_ID] .TXT).

Desarrollado por el Makop Ransomware familia, mamón es un virus peligroso que ejecuta el cifrado de datos con fines monetarios. Esto se debe a que cifra los datos personales con algoritmos de grado militar y exige que las víctimas paguen un rescate. Para mostrar que sus datos han sido restringidos, los extorsionistas agregan una cadena de símbolos a cada nombre de archivo (incluidos caracteres aleatorios, la dirección de correo electrónico de los ciberdelincuentes y .mamón extensión). Para ilustrar, el archivo original como 1.pdf cambiará su apariencia a algo como esto 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon. Como resultado de este cambio, los usuarios ya no podrán acceder al archivo. Para obtener instrucciones sobre cómo recuperar datos, los ciberdelincuentes crean una nota de texto llamada readme-warning.txt a cada carpeta con datos cifrados.

Ser parte de la Phobos Ransomware familia, Calvo es otro programa malicioso que cifra datos personales. La forma en que lo hace es mediante el uso de algoritmos de grado militar para cifrar los archivos. Junto con eso, el virus también asigna una cadena de símbolos a cada uno de los archivos. Esto incluye una identificación personal de las víctimas, el correo electrónico de los ciberdelincuentes y .calvo extensión para terminar la cuerda. Por ejemplo, un archivo como 1.pdf será infectado y cambiado a 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo. El mismo cambio ocurrirá con el resto de los datos almacenados en una PC. Tan pronto como esta parte de la infección llega a su fin, Calvo crea dos notas de rescate (info.hta y info.txt) para guiarlo a través del proceso de descifrado.

Desarrollado por Phobos familia, XHAMSTER es una infección de tipo ransomware, que ejecuta el cifrado de datos. Tal no realiza un cifrado unidireccional, en cambio, ofrece desbloquear los datos infectados a cambio del rescate de dinero. Cuando se trata de cifrado de datos, los ciberdelincuentes suelen ser las únicas figuras que pueden desbloquear sus datos. Es por eso que ofrecen comprar su software que lo ayudará a recuperar el acceso a los datos. Antes de profundizar en los detalles, es importante que mencionemos cómo XHAMSTER cifra sus datos. Además de bloquear el acceso, también agrega una cadena de símbolos que consisten en la identificación de las víctimas, el nombre de usuario de ICQ Messenger y .XHAMSTER extensión al final de cada archivo. Para ilustrar, un dato como 1.pdf será cambiado a algo como esto 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER al final del cifrado. Finalmente, una vez finalizado este proceso, el virus llega a crear dos archivos que contienen instrucciones de rescate. Mientras uno de ellos llamaba info.hta se muestra como una ventana justo en frente de los usuarios, la otra llamada info.txt reside en el escritorio de la víctima.