Ransomware

Weon Ransomware é uma das mais novas versões desenvolvidas pela STOP (Djvu) família. Foi detectado pela primeira vez no final de maio de 2023. Este ransomware tem como alvo vários tipos de dados pessoais (por exemplo, imagens, vídeos, documentos, etc.) usando chaves online geradas aleatoriamente para cada vítima. Uma vez aplicados e os dados criptografados, os usuários não podem mais acessá-los e interagir com eles. Durante o processo de criptografia, todos os arquivos são atribuídos com .weon extensão. Isso significa que os arquivos mudarão de nome e redefinirão seus ícones. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.weon e perde seu ícone inicial no final da criptografia. Então, assim como outras versões recentes da família STOP (Djvu), Weon cria uma nota de texto chamada _readme.txt que contém instruções de descriptografia. Não importa qual foi colocado em seu PC, todos eles exibem as mesmas informações.

Jigsaw Ransomware é uma família amplamente difundida de ransomware. O Ransomware foi projetado para criptografar arquivos no computador da vítima, tornando-os inacessíveis e, em seguida, exige o pagamento de um resgate em troca da chave de descriptografia necessária para restaurar os arquivos. O Jigsaw Ransomware ganhou atenção em abril de 2016, quando foi descoberto pela primeira vez. Recebeu o nome do personagem icônico do filme "Saw" devido ao uso de uma imagem do personagem como logotipo. O Jigsaw Ransomware visa sistemas baseados no Windows e se espalha por meio de vários métodos, como anexos de e-mail maliciosos, downloads infectados ou kits de exploração. Depois que um computador é infectado pelo Jigsaw Ransomware, ele começa a criptografar os arquivos no sistema, incluindo documentos, imagens, vídeos e outros dados importantes. Em seguida, exibe uma nota de resgate na tela da vítima, exigindo um pagamento, geralmente em Bitcoin, dentro de um prazo especificado. Se a vítima não pagar o resgate no prazo determinado, o Jigsaw Ransomware ameaça deletar uma parte dos arquivos criptografados como forma de punição. Ele também exibe um cronômetro de contagem regressiva, adicionando um elemento psicológico de urgência.

Alphaware Ransomware, um software malicioso, emprega uma combinação sofisticada de algoritmos para criptografar os dados valiosos de suas vítimas. Ao criptografar os arquivos com sucesso, este ransomware revela seu nome original, Alphaware, em uma nota, enquanto o próprio arquivo associado é rotulado como Alphaware.exe. Os perpetradores por trás dessa ameaça insidiosa se identificam como o grupo Alpha de hackers. Seu modus operandi envolve exigir um resgate de $ 300 em BTC (Bitcoin) em troca da chave de descriptografia, necessária para restaurar os arquivos comprometidos de volta ao seu estado original. O Alphaware Ransomware, que surgiu pela primeira vez em meados de maio de 2023, é direcionado principalmente a usuários que falam inglês, mas tem o potencial de infectar sistemas em todo o mundo. Os arquivos infectados passam por uma transformação em suas convenções de nomenclatura ou codificação, acompanhada pela adição do .Alphaware extensão. O pedido de resgate é entregue por meio de um arquivo chamado readme.txt.

Nova geração de STOP Ransomware (Djvu Ransomware) começou a adicionar .vatq extensões para arquivos criptografados desde o final de maio de 2023. Lembramos que Vatq Ransomware pertence a uma família de cripto-vírus, que extorque dinheiro em troca de descriptografia de dados. Os últimos exemplos de STOP Ransomware às vezes são categorizados como Djvu Ransomware, pois usam modelos quase idênticos de notas de resgate desde o início de 2019, quando .djvu extensões foram anexadas. Vatq Ransomware usa os mesmos endereços de e-mail, usados ​​nas últimas dezenas de versões: support@freshmail.top e datarestorehelp@airmail.cc. A descriptografia completa só é possível em 1-2% dos casos quando a chave de criptografia offline foi usada (por meio de STOP Djvu Decryptor). Em outros casos, use as instruções e ferramentas oferecidas neste artigo. Vatq Ransomware cria _readme.txt arquivo de nota de resgate, que parece quase o mesmo.

FAST Ransomware é um tipo de malware que nossa equipe de pesquisa descobriu recentemente enquanto investigava envios no site do VirusTotal. Este programa malicioso específico é classificado como ransomware, o que significa que foi projetado para criptografar dados no computador da vítima e exigir um resgate em troca de sua descriptografia. Quando testamos o ransomware em nossa própria máquina, observamos que ele criptografava arquivos e modificava seus nomes de arquivos. Os títulos dos arquivos originais foram alterados anexando o endereço de e-mail dos cibercriminosos, um ID de vítima exclusivo e o .FAST extensão. Por exemplo, um arquivo chamado sample.pdf apareceria como sample.pdf.EMAIL=[fastdec@tutanota.com]ID=[RANDOM].FAST após a criptografia. Depois de concluir o processo de criptografia, o ransomware FAST soltou uma nota de resgate intitulada #FILEENCRYPTED.txt na área de trabalho da vítima.

EXISC é uma forma de malware conhecida como ransomware que chamou nossa atenção durante nossa investigação. Seu objetivo principal é criptografar dados e exigir pagamento em troca da chave de descriptografia. Ao executar uma amostra desse ransomware em nosso sistema de teste, observamos que ele criptografou arquivos e anexou o .EXISC extensão aos seus nomes de arquivo originais. Por exemplo, um arquivo chamado sample.pdf apareceria como sample.pdf.EXISC. O ransomware também criou uma nota de resgate intitulada Please Contact Us To Restore.txt. Com base na mensagem contida na nota, ficou evidente que o EXISC visa principalmente grandes organizações, em vez de usuários domésticos individuais. As vítimas geralmente não recebem as chaves ou software de descriptografia prometidos, mesmo depois de cumprir as exigências de resgate. Portanto, desencorajamos fortemente o pagamento do resgate, pois não garante a recuperação dos dados e apenas perpetua as atividades criminosas.

Vaze Ransomware (aka STOP Ransomware or Djvu Ransomware) é um extorsionário de vírus de criptografia de arquivos amplamente difundido. Este é um dos ransomwares mais perigosos, com alto efeito prejudicial e alta taxa de prevalência. Ele usa o algoritmo de criptografia AES-256 no modo CFB com zero IV e uma única chave de 32 bytes para todos os arquivos. Um máximo de 0x500000 bytes (~ 5 Mb) de dados no início de cada arquivo é criptografado. O vírus anexa .vaze extensões para arquivos codificados. A infecção afeta arquivos importantes e valiosos. Estes são documentos do MS Office, OpenOffice, PDF, arquivos de texto, bancos de dados, fotos, música, vídeo, arquivos de imagem, arquivos, arquivos de aplicativos, etc. Djvu Ransomware não criptografa arquivos do sistema, para garantir que o Windows funcione corretamente e os usuários possam navegue na internet, visite a página de pagamento e pague o resgate. Vaze Ransomware cria _readme.txt , que se denomina "nota de resgate", contém instruções para efetuar o pagamento e dados para contato. O vírus o coloca na área de trabalho e nas pastas com arquivos criptografados. Os desenvolvedores oferecem os seguintes detalhes de contato: support@freshmail.top e datarestorehelp@airmail.cc.

Vírus desastroso conhecido como STOP Ransomware, em particular, sua última variação Vapo Ransomware não afrouxa e continua sua atividade maliciosa, mesmo durante o pico da verdadeira pandemia de coronavírus humano. Os hackers lançam novas variações a cada 3-4 dias, e ainda é difícil prevenir a infecção e se recuperar dela. As versões recentes têm extensões modificadas, que são adicionadas ao final dos arquivos afetados, agora são: .vapo. Embora existam ferramentas de descriptografia da Emsisoft disponíveis para versões anteriores, as mais recentes geralmente não são descriptografáveis. Os processos de penetração, infecção e criptografia permanecem os mesmos: campanhas de malvertising de spam, downloads ponto a ponto, desatenção do usuário e falta de proteção decente levam a uma perda severa de dados após a criptografia usando algoritmos AES-256 fortes. Depois de terminar sua atividade devastadora, o Vapo Ransomware deixa o arquivo de texto - uma nota de resgate, chamada _readme.txt, do qual podemos aprender, que a descriptografia custa de $490 a $980, e é impossível sem uma certa chave de descriptografia.