Los virus

0xxx es una infección de ransomware que cifra varios datos utilizando algoritmos AES + RSA en dispositivos NAS (Western Digital My Book). Esta medida se hace para obligar a las víctimas a pagar el llamado rescate a cambio de los datos bloqueados. Al igual que otros programas maliciosos de este tipo, 0xxx utiliza su propia extensión (.0xxx) para cambiar el nombre de los datos. Por ejemplo, una pieza de archivo titulada como 1.pdf cambiará su apariencia a 1.pdf.0xxx después del cifrado. Todos estos cambios indican que sus datos ya no son accesibles. En otras palabras, ya no hay forma de abrirlo. Para solucionarlo, se pide a las víctimas que sigan las instrucciones de rescate dentro del ! 0XXX_DECRYPTION_README.TXT nota de texto. Esta nota se coloca en cada carpeta que contiene archivos cifrados. Se dice que las víctimas pueden descifrar sus datos pagando un rescate de 300 USD en Bitcoin. Al principio, se indica a los usuarios que se pongan en contacto con los ciberdelincuentes por correo electrónico. Es necesario incluir su identificación única junto con 3 archivos para probar el descifrado gratuito. Tan pronto como se establezca el contacto con los ciberdelincuentes, las víctimas obtendrán los detalles de pago para realizar una transferencia de dinero. Aunque los extorsionistas afirman que no tienen la intención de engañarlo, ha habido varios casos en los que los usuarios no recibieron las herramientas de descifrado incluso después del pago.

Antes de llegar a la mudanza, conviene saber qué Redeemer Ransomware en realidad es. Está clasificado como un virus de cifrado de archivos que bloquea el acceso a los datos almacenados en un sistema comprometido. Para mostrar si está encriptado o no, los desarrolladores de Redeemer agregan el .redeem extensión a cada uno de los archivos. Por ejemplo, un archivo como 1.pdf cambiará su apariencia a 1.pdf.redeem y restablecer su icono original. El sistema ya no podrá abrir los archivos mientras estén encriptados. Para devolver el control sobre sus datos, es necesario comprar un software de descifrado especial junto con una clave única. Puede encontrar información más detallada en el interior del Read Me.TXT nota, que se crea una vez finalizada la encriptación. Justo debajo del logotipo de Redeemer extraído de números, los ciberdelincuentes piden a los usuarios que paguen 20 criptomonedas XMR (Monero), que son unos 4000 $ por el descifrado de datos. Una vez que esté listo para hacerlo, el siguiente paso es contactar a los extorsionadores adjuntando su clave de identificación personal a través de su dirección de correo electrónico (test@test.test). Esto es necesario para obtener la dirección de pago para realizar una transferencia. Tan pronto como reciban su rescate por descifrado, debería recibir las herramientas prometidas para recuperar sus datos.

Potestón se clasifica como una infección de ransomware que ejecuta el cifrado de bases de datos, fotos, documentos y otros datos valiosos. Todo el proceso de cifrado puede ser detectado fácilmente por los usuarios que buscan nuevas extensiones asignadas a los archivos. Este virus involucra al .potestón extensión para cambiar el nombre de los datos almacenados. Para ilustrar, un archivo llamado 1.pdf cambiará su apariencia a 1.pdf.poteston como resultado del cifrado. Tan pronto como se vean estos cambios, las víctimas ya no podrán acceder a los datos. Tan pronto como se vean estos cambios, las víctimas ya no podrán acceder a los datos. Para restaurarlo, los usuarios reciben instrucciones dentro del readme.txt Nota. Dentro de la nota, las víctimas son recibidas con malas noticias: todos los datos que mencionamos anteriormente han sido encriptados. Para recuperarlo, se indica a las víctimas que se pongan en contacto con los ciberdelincuentes utilizando su dirección de correo electrónico (recovery_Potes@firemail.de). Después de establecer contacto con ellos, supuestamente se le proporcionarán los detalles necesarios para realizar una transferencia de dinero. Antes de hacerlo, también se le ofrece enviar uno de los archivos bloqueados para su descifrado gratuito. Este es un truco utilizado por muchos extorsionistas para elevar la confianza de las víctimas. Además de eso, los desarrolladores de Poteston también informan contra el cambio de nombre de los datos cifrados, ya que puede dañar su configuración.

MANSORY es una infección de ransomware que ejecuta un cifrado vigoroso en datos personales y comerciales. Este proceso involucra algoritmos criptográficos junto con la adición de nuevas extensiones. MANSORY utiliza el .MANSORY extensión a cada pieza de archivo que ha sido restringida. Por ejemplo, un archivo como 1.pdf será cambiado a 1.pdf.mansory. Después de experimentar tales cambios, los archivos bloqueados ya no serán accesibles. Para recuperar el acceso a ellos, las víctimas deben pagar cierto rescate en dinero. Más información sobre eso se presenta dentro de una nota de texto llamada MANSORY-MESSAGE.txt, que se crea después de que se realiza el cifrado. Lo primero que dicen los ciberdelincuentes es que se han descargado gigabytes de datos valiosos en una ubicación segura. Los extorsionadores lo utilizan como garantía para intimidar a los usuarios con la publicación de datos en caso de que se nieguen a pagar dinero. Las víctimas tienen derecho a saber cuántos datos se han cargado después de contactar a los ciberdelincuentes por correo electrónico (selawilsen2021@tutanota.com; dennisdqalih35@tutanota.com; josephpehrhart@protonmail.com). Por tanto, pueden analizar el valor de los datos que se filtraron a manos de extorsionistas. Como ya mencionamos, no contactar a los ciberdelincuentes resultará en la publicación gradual de datos que han sido secuestrados de su red. Para evitarlo, las víctimas deben comprar el software de descifrado almacenado por los propios ciberdelincuentes. Esto también le permitirá desbloquear todos los datos bloqueados. Además de eso, los desarrolladores de MANSORY Ransomware ofrecen probar el descifrado gratuito enviando 2 archivos aleatorios desde otras computadoras a su correo electrónico.

FindNoteFile es el nombre de una infección de ransomware que comenzó su búsqueda de usuarios comerciales en junio de 2021. Al igual que otros programas maliciosos de este tipo, los desarrolladores utilizan algoritmos AES + RSA para cifrar los datos de las víctimas. FindNoteFile se ha encontrado distribuido en 3 versiones diferentes. La única gran diferencia entre ellos es el nombre de la extensión asignada a los archivos después del cifrado (.findnotefile, .findthenotefileo .reddot). Por ejemplo, un archivo inicialmente llamado 1.pdf cambiará su apariencia a 1.pdf.findnotefile, 1.pdf.findthenotefileo 1.pdf.reddot dependiendo de qué versión atacó su sistema. Luego, tan pronto como finaliza el cifrado, el virus crea una nota de texto llamada HOW_TO_RECOVER_MY_FILES.txt, que contiene instrucciones de rescate. El texto escrito en el interior está lleno de errores, sin embargo, todavía es fácil entender lo que los ciberdelincuentes quieren de sus víctimas.

GOLPE es un virus de tipo ransomware que cifra los datos personales para ganar dinero con los usuarios desesperados. En otras palabras, restringe el acceso a los datos y los mantiene bajo llave hasta que las víctimas paguen una determinada tarifa de rescate. Para que los usuarios detecten el cifrado, los desarrolladores cambian el nombre de los datos comprometidos utilizando el .golpe extensión. Para ilustrar, un archivo como 1.pdf será retitulado a 1.pdf.slam y restablecer su icono original (en algunos casos). Luego, una vez realizada esta parte del cifrado, SLAM abre una ventana que indica información sobre el virus. El texto rojo sobre fondo negro indica que todos los archivos se han cifrado. Para recuperarlos, se les pide a las víctimas que se pongan en contacto con los ciberdelincuentes mediante uno de los correos electrónicos adjuntos a la nota. A partir de entonces, se le darán las instrucciones necesarias para realizar una transferencia de rescate en dinero. Además de eso, se advierte a los usuarios que está prohibido apagar la PC o usar aplicaciones de Windows (por ejemplo, regedit, administrador de tareas, símbolo del sistema, etc.). De lo contrario, su PC se bloqueará y no podrá iniciarse hasta que el virus esté presente. Lo mismo sucederá a menos que se comunique con extorsionistas dentro de las 12 horas. En este punto de la investigación, los expertos cibernéticos aún no han podido encontrar una herramienta que pudiera proporcionar descifrado de datos de forma gratuita, sin involucrar a los ciberdelincuentes. Pagar el rescate también es un riesgo, ya que no hay garantía de que reciba sus archivos de vuelta. La única mejor manera en esta situación es eliminar SLAM Ransomware y recuperar sus datos a través de copias de seguridad. Si no los ha creado y almacenado en una ubicación separada antes de la infección, entonces es casi irreal descifrar sus archivos.

EpsilonRojo es otro virus de tipo ransomware que se dirige a los datos personales de los sistemas infectados. Una vez que encuentra el rango de datos que necesita (normalmente son bases de datos, estadísticas, documentos, etc.), el virus comienza a ejecutar el cifrado de datos con algoritmos AES + RSA. Es difícil detectar todo el proceso de cifrado de inmediato, ya que las víctimas se dan cuenta de la infección solo después de que todos los archivos hayan cambiado de nombre. Para ilustrar eso, echemos un vistazo al archivo llamado 1.pdf, que por lo tanto cambió su apariencia a 1.pdf.epsilonred. Tal cambio significa que ya no se permite acceder al archivo. Además de buscar datos sensibles, también se sabe que EpsilonRed altera la extensión de los archivos ejecutables y DLL, lo que puede impedir que se ejecuten correctamente. El virus también instala un par de archivos que bloquean las capas de protección, limpian los registros de eventos y afectan otras funciones de Windows una vez que la infección se ha infiltrado en el sistema. Al final del cifrado, EpsilonRed proporciona instrucciones de rescate presentadas dentro de una nota. El nombre del archivo puede variar individualmente, pero la mayoría de los usuarios informaron sobre CÓMO_RECOVER.EpsilonRed.txt y nota_de_rescate.txt notas de texto que se crean después del cifrado.

Gpay se conoce como un programa malicioso que ejecuta un cifrado seguro de datos sobre los datos almacenados mediante los algoritmos AES-256, RSA-2048 y CHACHA. Los ciberdelincuentes monetizan su software pidiendo a las víctimas que paguen dinero por el descifrado de datos. Antes de hacerlo, las víctimas se confunden en primer lugar acerca de los cambios repentinos en la apariencia del archivo. Esto se debe a que Gpay cambia el nombre de todos los archivos cifrados con la .gpay extensión. Para ilustrar, un archivo como 1.pdf será alterado a 1.pdf.gpay una vez finalizada la encriptación. Después de detectar este cambio, las víctimas también encontrarán un archivo llamado !!! HOW_TO_DECRYPT !!!. Mht dentro de todas las carpetas infectadas. El archivo conduce a una página web que muestra instrucciones de rescate. Se dice que puede enviar hasta 3 archivos para probar sus capacidades de descifrado de forma gratuita. Esto se puede hacer enviando sus archivos con identificación personal a las direcciones de correo electrónico gsupp@jitjat.org y gdata@msgden.com. Se debe hacer lo mismo para reclamar la dirección de pago y comprar las herramientas de descifrado. A menos que lo haga dentro de las 72 horas, es más probable que los ciberdelincuentes publiquen los datos secuestrados en plataformas relacionadas con la red oscura. Es por eso que quedar atrapado por Gpay es extremadamente peligroso ya que existe una gran amenaza a la privacidad. Dependiendo de cuál será el precio del descifrado de datos, las víctimas pueden decidir si lo necesitan o no.