Ransomware

GREEDYFATHER é um tipo de ransomware, um software malicioso que criptografa dados no computador da vítima e exige um resgate pela sua descriptografia. Este artigo fornecerá uma compreensão abrangente do ransomware GREEDYFATHER, seus métodos de infecção, as extensões de arquivo que adiciona, a criptografia que usa, a nota de resgate que cria e possíveis ferramentas e métodos de descriptografia. GREEDYFATHER Ransomware anexa o .GREEDYFATHER extensão para os nomes dos arquivos criptografados. Por exemplo, um arquivo chamado 1.jpg seria renomeado para 1.jpg.GREEDYFATHER. O algoritmo de criptografia específico usado pelo ransomware GREEDYFATHER não é mencionado explicitamente nos resultados da pesquisa. No entanto, o ransomware normalmente usa algoritmos de encriptação fortes, como AES (Advanced Encryption Standard) ou RSA (Rivest-Shamir-Adleman), para encriptar ficheiros. Esses métodos de criptografia são praticamente inquebráveis ​​sem a chave de descriptografia correta. Depois de criptografar os arquivos, GREEDYFATHER cria uma nota de resgate chamada GREEDYFATHER.txt em cada diretório que contém os arquivos criptografados. A nota garante à vítima que os arquivos criptografados podem ser restaurados e a instrui a enviar alguns arquivos bloqueados aos invasores para um teste de descriptografia. Também alerta contra o uso de ferramentas de descriptografia gratuitas.

Ljaz Ransomware é um tipo de software malicioso que criptografa arquivos no computador da vítima, tornando-os inacessíveis. Os invasores então exigem um resgate, geralmente na forma de criptomoeda, em troca do fornecimento da chave de descriptografia ou ferramenta necessária para desbloquear os arquivos criptografados. Ljaz Ransomware adiciona o .ljaz extensão de arquivo para os arquivos criptografados. Ljaz Ransomware cria uma nota de resgate em um arquivo de texto chamado _readme.txt. Esta nota geralmente contém instruções sobre como pagar o resgate para obter a chave ou ferramenta de descriptografia. A família STOP/Djvu Ransomware usa o algoritmo de criptografia Salsa20 para criptografar os arquivos da vítima. Ele também usa criptografia RSA, que é um dos métodos de criptografia mais comumente usados ​​por grupos de ransomware. O ransomware inicia sua cadeia de execução com vários níveis de ofuscação projetados para retardar a análise de seu código por analistas de ameaças e sandboxes automatizados.

Ljuy Ransomware é um tipo de malware que pertence à família Djvu. Ele foi projetado para se infiltrar em um sistema de computador, criptografar arquivos e, em seguida, exigir um resgate pela descriptografia desses arquivos. O ransomware usa um algoritmo de criptografia robusto conhecido como Salsa20, que é comum entre todos os outros membros da família de ransomware STOP/Djvu. Uma vez dentro do sistema, o Ljuy ransomware criptografa arquivos e anexa sua extensão (.ljuy) para nomes de arquivos. Por exemplo, muda 1.jpg para 1.jpg.ljuy, 2.png para 2.png.ljuy, e assim por diante. Ljuy ransomware cria um arquivo de texto chamado _readme.txt, que serve como nota de resgate. Esta nota contém informações de pagamento e contato. Informa a vítima que os seus ficheiros, incluindo imagens, bases de dados, documentos e outros dados cruciais, foram encriptados usando um algoritmo forte e só podem ser recuperados através da compra de uma ferramenta de desencriptação.

BuLock Ransomware é um tipo de software malicioso, ou malware, que criptografa arquivos no computador ou na rede da vítima, tornando-os inacessíveis. Os invasores então exigem um resgate da vítima em troca da chave de descriptografia para desbloquear os arquivos. O ransomware também é conhecido como Crypto Virus ou Files Locker devido aos seus recursos de criptografia. BuLock Ransomware adiciona o .bulock16 extensão para os arquivos que ele criptografa. O dígito na extensão pode variar dependendo da variante do ransomware. BuLock Ransomware usa uma combinação de algoritmos criptográficos RSA e AES para criptografar arquivos. Esses são métodos de criptografia robustos que dificultam a descriptografia dos arquivos sem a chave de descriptografia específica. BuLock Ransomware cria uma nota de resgate chamada HOW_TO_BACK_FILES.html. Esta nota informa à vítima que sua rede foi comprometida e seus arquivos criptografados. Alerta também que os atacantes exfiltraram dados confidenciais da rede, que ameaçam vender ou vazar online se o resgate não for pago. A nota também oferece à vítima a oportunidade de testar a descriptografia de 2 a 3 arquivos antes de pagar o resgate.

Hhaz Ransomware é um tipo de software malicioso que criptografa os dados do usuário, tornando-os inacessíveis. É uma variante associada à família de ransomware Djvu. O ransomware altera os nomes dos arquivos anexando o .hhaz extensão e cria um arquivo de texto chamado _readme.txt isso inclui uma nota de resgate. Por exemplo, ele transforma 1.jpg para dentro 1.jpg.hhaz, 2.png para dentro 2.png.hhaz, e assim por diante. O ransomware Hhaz usa o algoritmo de criptografia Salsa20. Se o Hhaz não conseguir estabelecer uma conexão com seu servidor antes de iniciar o processo de criptografia, ele usará uma chave offline. Essa chave é a mesma para todas as vítimas, possibilitando potencialmente a descriptografia de arquivos .hhaz no futuro. A nota de resgate garante ao indivíduo visado que seus arquivos bloqueados podem ser recuperados adquirindo uma ferramenta de descriptografia e uma chave específica. O custo para descriptografar os dados é fixado em US$ 980, com um desconto de 50% disponível se as vítimas entrarem em contato com os atores da ameaça dentro de um período de 72 horas. A nota ressalta a absoluta impossibilidade de recuperação dos dados sem efetuar o pagamento estipulado.

Hhuy Ransomware é uma variante da notória família de ransomware STOP/DJVU. Ele criptografa imagens, documentos e outros arquivos importantes em computadores infectados, tornando-os inacessíveis. O ransomware então exige um resgate, normalmente variando de US$ 490 a US$ 980, pagável em Bitcoins, para descriptografar os arquivos. O ransomware Hhuy tem como alvo uma ampla variedade de extensões de arquivo, incluindo, entre outras, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .pdf e .psd. Depois que um arquivo é criptografado, o ransomware anexa o .hhuy extensão ao nome do arquivo, impossibilitando a abertura com qualquer programa. O ransomware Hhuy usa o algoritmo de criptografia Salsa20. Embora não seja o método mais forte, ainda fornece um número esmagador de chaves de descriptografia possíveis, tornando os ataques de força bruta praticamente impossíveis com a tecnologia de computação atual. Após a criptografia bem-sucedida, o Hhuy ransomware cria uma nota de resgate chamada _readme.txt. Esta nota normalmente contém instruções sobre como pagar o resgate, juntamente com informações de contato dos invasores, geralmente na forma de endereços de e-mail.

Nbwr Ransomware é um tipo de malware de criptografia de arquivos que pertence à família Djvu. É um software malicioso que criptografa os dados do usuário, tornando-os inacessíveis. O ransomware modifica nomes de arquivos anexando o .nbwr extensão e gera um arquivo de texto (_readme.txt) contendo uma nota de resgate. A nota de resgate garante à vítima que seus arquivos criptografados podem ser restaurados com a compra de uma ferramenta de descriptografia e uma chave exclusiva. O preço da descriptografia de dados geralmente é alto, com um desconto de 50% disponível se os agentes da ameaça forem contatados dentro de 72 horas. O ransomware Nbwr usa o algoritmo de criptografia Salsa20. Este método fornece uma quantidade enorme de possíveis chaves de descriptografia, tornando virtualmente impossíveis ataques de força bruta. A nota de resgate garante à vítima que seus arquivos criptografados podem ser restaurados com a compra de uma ferramenta de descriptografia e uma chave exclusiva.

GrafGrafel é um tipo de ransomware, um software malicioso que criptografa dados e exige resgate pela sua descriptografia. Faz parte da família de ransomware Phobos. O ransomware GrafGrafel tem como alvo arquivos locais e compartilhados em rede, deixando os arquivos críticos do sistema inalterados. Depois que o ransomware GrafGrafel infecta um computador, ele criptografa arquivos e altera seus nomes. Os títulos originais são anexados com um ID exclusivo atribuído à vítima, o endereço de e-mail dos criminosos cibernéticos e um .GrafGrafel extensão. Por exemplo, um arquivo inicialmente chamado 1.jpg apareceria como 1.jpg.id[G7RF34WQE-5687].[GrafGrafel@tutanota.com].GrafGrafel seguinte criptografia. O algoritmo de criptografia específico usado pelo ransomware GrafGrafel ainda é desconhecido. No entanto, o ransomware normalmente usa algoritmos de criptografia fortes que só podem ser desbloqueados por um código descriptografador conhecido apenas pelo invasor. Após a conclusão do processo de criptografia, o ransomware GrafGrafel cria notas de resgate em um pop-up (info.hta) e arquivos de texto (info.txt). Essas notas são colocadas em diretórios criptografados e na área de trabalho.