Ransomware

Qore é outro criptografador de arquivos desenvolvido e difundido pela STOP/Djvu família. Ele copia todas as características e capacidades de versões mais antigas emitidas pelo grupo STOP/Djvu. O vírus criptografa dados armazenados no PC e exige resgate criptográfico para um software de descriptografia exclusivo que decifrará esses dados. Na maioria das vezes, malwares como o Qore têm como alvo dados vitais, como imagens, músicas, vídeos e documentos que contêm informações importantes. Depois de detectar esses arquivos, o programa ransomware gera cifras exclusivas e as escreve sobre os arquivos para impedir que os usuários os acessem. Além disso, as infecções por ransomware também adicionam novas extensões para destacar os dados criptografados. No caso do Qore Ransomware, os usuários verão seus dados alterados com o .qore extensão. Isso significa um arquivo normal como 1.pdf vai mudar sua aparência para algo assim 1.pdf.qore. Depois disso, os desenvolvedores do Qore criam uma nota de texto chamada _readme.txt que explicam a instrução de descriptografia. Observe que todas essas alterações acontecem em um piscar de olhos, portanto, é impossível rastrear qual parte da criptografia ocorreu primeiro. Isto é o que você pode ver escrito dentro da nota de texto com exigências de resgate.

BlackSuit é um vírus do tipo ransomware que visa a criptografia de dados nos sistemas operacionais Windows e Linux. As vítimas desta infecção serão impedidas de acessar seus arquivos até que o resgate seja pago. Para fazer isso, as vítimas são incentivadas a ler as instruções de descriptografia apresentadas no README.BlackSuit.txt nota de texto. Além disso, o vírus também destaca os dados bloqueados adicionando o novo .blacksuit extensão a eles. Para ilustrar, um arquivo como 1.pdf mudará para 1.pdf.blacksuit, redefinir seu ícone original e, simultaneamente, tornar-se inacessível. O README.BlackSuit.txt arquivo afirma que as vítimas foram atacadas por um extorsionário que alega ter criptografado e carregado arquivos cruciais em um servidor protegido. Diz-se que dados como registros financeiros, informações confidenciais, arquivos pessoais e outros materiais confidenciais agora correm o risco de vazar na web, a menos que as vítimas obedeçam às exigências dos invasores. O extorsionário diz que é possível evitar todas as implicações negativas e restaurar o acesso aos dados por uma certa quantia de dinheiro. Para entrar em contato com os invasores, as vítimas devem usar o link do navegador TOR fornecido e colaborar ainda mais com os vigaristas.

Qopz Ransomware é um vírus de computador de criptografia de arquivos de alto risco, que pertence à notória família de STOP/Djvu. Este vírus em particular foi lançado nos primeiros dias de maio de 2023. Aqui estão algumas de suas características: modifica as extensões dos arquivos com um código de 4 letras .qopz; ele criptografa esses arquivos com forte combinação de criptografia AES-256 e RSA-1024; cria nota de resgate _readme.txt, onde os autores exigem resgate de $980/$490 para descriptografia. Infelizmente, a descriptografia completa não é possível se o vírus tiver usado a chave online (seu PC esteve online durante todo o processo de criptografia). Mas não se desespere, ainda há chances de restaurar os dados parcialmente ou até completamente com as instruções fornecidas nesta página e com certa sorte. Os hackers se oferecem para descriptografar 1 arquivo gratuitamente e recomendamos não perder esta oportunidade. Embora eles digam que o arquivo não deve conter informações importantes, envie a eles 1 arquivo crucial, documento mais importante ou foto memorável. No entanto, isso deve ser toda a comunicação com eles. Não pague o resgate, pois, na maioria das vezes, os malfeitores simplesmente param de responder.

GAZPROM é uma infecção de ransomware desenvolvida com base em outro ransomware chamado CONTI. Da mesma forma que outros malwares desse tipo, o GAZPROM tem como alvo a criptografia de arquivos pessoais e exige que as vítimas paguem um resgate pela descriptografia. Junto com a criptografia, o vírus cria dois arquivos contendo instruções de descriptografia (GAZPROM_DECRYPT.hta e DECRYPT_GAZPROM.html). Além disso, os dados criptografados são renomeados com o .GAZPROM extensão. Como resultado, os arquivos restritos começam a ter a seguinte aparência: 1.pdf.GAZPROM, 1.png.GAZPROM, e assim por diante. Para devolver os dados bloqueados, as vítimas são instruídas a entrar em contato com os cibercriminosos no mensageiro Telegram e pagar pela descriptografia dos dados. Se as vítimas não conseguirem estabelecer comunicação nas primeiras 24 horas desde a criptografia, o preço aumentará. Os agentes de ameaças garantem que são capazes de retornar o acesso aos dados bloqueados e podem fornecer todas as evidências possíveis para provar isso.

Zhong é o nome de uma infecção de ransomware que executa a criptografia de dados armazenados no sistema e, em seguida, pede às vítimas que paguem pela descriptografia. Ao restringir o acesso aos dados, o vírus também atribui seu próprio .zhong extensão para destacar os dados criptografados. Observe que essa alteração é puramente visual e não tem nada direto com criptografia. Infelizmente, simplesmente remover a extensão adicionada não retornará o acesso aos dados. Para isso, as vítimas são incentivadas a seguir as instruções contidas no Restore.txt nota de texto que é criada após a criptografia bem-sucedida. A mensagem da nota de texto esclarece que as vítimas têm 48 horas para entrar em contato com os invasores por e-mail e pagar pela descriptografia. Caso contrário, os dados afetados serão tornados públicos em vários recursos (supostamente da dark web). Ao dizer isso, os cibercriminosos tentam intimidar os usuários e basicamente forçá-los a pagar o resgate. Embora o custo de descriptografia seja desconhecido, vários extorsionários de ransomware podem exigir de centenas a até milhares de dólares para a descriptografia completa do arquivo.

H3r é uma infecção de ransomware projetada para tornar os arquivos inacessíveis (usando criptografia) e exigir pagamento por sua recuperação posteriormente. Além de executar criptografia criptográfica segura, o vírus também modifica os nomes dos arquivos afetados anexando uma nova extensão que consiste no identificador pessoal da vítima, endereço de e-mail dos cibercriminosos e .h3r bem no final. Por exemplo, um arquivo original como 1.pdf após a criptografia mudará para algo como 1.pdf.id-9ECFA84E.[herozerman@tutanota.com].h3r e tornar-se inacessível. Em seguida, o ransomware exibirá uma janela pop-up e criará o info.txt arquivo, que apresenta diretrizes de descriptografia para as vítimas.

AttackSystem é uma infecção de ransomware que possui recursos de criptografia de arquivos. Isso significa que, após serem infectadas por ele, as vítimas serão impedidas de acessar seus próprios dados até que o pagamento do resgate seja feito. Além disso, o ransomware também altera a aparência do arquivo adicionando o .attacksystem extensão. Por exemplo, um arquivo anteriormente chamado 1.pdf vai mudar para algo como 1.pdf.attacksystem e se tornar inutilizável. Informações sobre como devolver os dados bloqueados fornecidos por vigaristas no How_to_back_files.html arquivo que é criado após a criptografia. Também é importante notar que foi descoberto que o AttackSystem Ransomware pertence a outra família de malware conhecida como MedusaLocker.

Saba é um programa de ransomware pertencente ao STOP/Djvu família de malware. Assim como as versões anteriores de ransomware lançadas por esta família, o Saba criptografa dados pessoais e exige que as vítimas paguem um resgate para recuperá-los. Durante esse processo, o vírus modifica todos os arquivos restritos usando o .saba extensão. Por exemplo, um arquivo chamado 1.pdf mudará para 1.pdf.saba e redefina seu ícone original. Em seguida, Saba Ransomware cria uma nota de texto (_readme.txt) contendo instruções sobre como recuperar os arquivos. Como dito na nota, as vítimas devem entrar em contato com os desenvolvedores de ransomware por meio de comunicação por e-mail (support@freshmail.top or datarestorehelp@airmail.cc) e pague 980 dólares por um software de descriptografia especial. Os cibercriminosos também oferecem um desconto de 50% sobre o preço mencionado se as vítimas escreverem uma mensagem para os vigaristas em 72 horas. Além disso, os usuários infectados também podem enviar 1 arquivo criptografado para desbloqueá-lo e deixá-lo funcionando totalmente gratuitamente. A possibilidade de descriptografar seus dados sem pagar o resgate depende de como eles foram criptografados. Os desenvolvedores da família STOP podem usar formas offline e online de gerar e armazenar cifras atribuídas.