Ransomware

DVN é uma infecção de ransomware que executa uma criptografia forte para refém de arquivos potencialmente importantes até que um resgate seja pago. Além da criptografia, o vírus também atribui o .devinn extensão para destacar os dados bloqueados; altera os papéis de parede da área de trabalho; e criar o unlock_here.txt nota de texto com instruções de recuperação. Os cibercriminosos dizem que fornecerão o software de descriptografia necessário apenas se as vítimas pagarem 0.0077 BTC (cerca de US$ 200). Afirma-se que o pagamento pode ser feito apenas em Bitcoin e para o endereço criptográfico anexado. Ao contrário de muitas outras infecções por ransomware, os desenvolvedores por trás do DVN Ransomware não incluem nenhum meio de comunicação com eles (por exemplo, e-mail, vários mensageiros, etc.). Portanto, não está claro como as vítimas se comunicarão com os invasores para receber a ferramenta de descriptografia prometida após o pagamento. Pagar o resgate não é altamente recomendado, pois existe o risco de não receber nada em troca. Infelizmente, temos que observar que os cibercriminosos geralmente são as únicas figuras realmente capazes de descriptografar totalmente o acesso aos dados.

Fofd Ransomware (versão de STOP Ransomware or DjVu Ransomware) é um vírus de criptografia generalizado de alto risco, que apareceu pela primeira vez há cerca de 5 anos. Ele experimentou várias mudanças visuais e técnicas ao longo do tempo. Neste tutorial, analisaremos as versões recentes desse malware perigoso. No final de abril de 2023, o STOP Ransomware começou a adicionar as seguintes extensões aos arquivos criptografados: .fofd. É por isso que recebeu o nome de "Fofd Ransomware", embora seja apenas uma das variedades do STOP crypto-virus. O vírus também modifica o arquivo "hosts" para bloquear atualizações do Windows, programas antivírus e sites relacionados a notícias de segurança ou que oferecem soluções de segurança. O processo de infecção também se parece com a instalação de atualizações do Windows, o malware mostra a janela falsa, que imita o processo de atualização. Um novo subtipo de STOP Ransomware usa os mesmos endereços de e-mail, como poucas gerações anteriores: support@freshmail.top e datarestorehelp@airmail.cc. Fofd Ransomware cria _readme.txt arquivo de nota de resgate.

WannaCry (também referido como wcry, Quero Decrypt0r 2.0, WanaDecryptor e Vírus WNCRY) é uma infecção de ransomware que criptografa arquivos pessoais usando algoritmos AES-128 e exige que as vítimas paguem pela descriptografia. O vírus foi descoberto por um pesquisador de segurança S!Ri e existem algumas variantes conhecidas do WannaCry. Dependendo de qual variante atacou o sistema, os arquivos afetados pela criptografia serão alterados usando o .wcry, .wncryou WNCRYT (para arquivos .bmp criptografados). Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.wcry ou de forma semelhante, dependendo da versão do ransomware. Depois disso, o vírus exibe instruções de descriptografia em uma janela pop-up aberta à força. Uma das variantes também altera os papéis de parede da área de trabalho. O Quero Decrypt0r 2.0 variante também cria uma nota separada exigindo resgate chamada @ Please_Read_Me @ .txt.

Se seus arquivos foram recentemente .foty extensões, isso significa que seu PC está infectado com um vírus de criptografia chamado Foty Ransomware (parte de STOP Ransomware or Djvu Ransomware família, assim chamada porque as primeiras versões do vírus desse tipo anexaram .djvu extensão). Este é um malware muito difundido e distribuído ativamente. Ransomware inicialmente usou o algoritmo de criptografia AES-256 e não havia como descriptografia. No entanto, se durante o processo de criptografia o PC infectado estiver fora da Internet ou a conexão com um servidor remoto de hackers for interrompida, seus arquivos poderão ser descriptografados, usando os métodos fornecidos abaixo. STOP Ransomware tem uma nota de resgate chamada _readme.txt. Nesse arquivo de texto, os malfeitores fornecem informações de contato e detalhes sobre como fazer o pagamento. O vírus o copia na área de trabalho e nas pastas com arquivos criptografados. Os hackers fornecem os seguintes contatos e e-mails: support@freshmail.top e datarestorehelp@airmail.cc.

Foza Ransomware é um vírus de criptografia devastador da série de STOP Ransomware (Djvu Ransomware). Foza Ransomware é uma variante da família STOP/Djvu Ransomware, conhecida por usar uma combinação de dois algoritmos de criptografia: RSA e AES. RSA é usado para criptografar a chave AES simétrica gerada para cada arquivo. Isso significa que cada arquivo tem sua própria chave AES exclusiva, que é usada para criptografar e descriptografar o conteúdo do arquivo. O par de chaves RSA é gerado pelo ransomware no computador da vítima e a chave pública é enviada ao servidor do invasor, que é usado para criptografar a chave AES simétrica. Tem o nome de .foza extensão, que o ransomware adiciona ao final dos arquivos criptografados. Do ponto de vista técnico, o vírus permanece o mesmo das versões anteriores. A única coisa que muda nos últimos dois anos são os detalhes de contato dos malfeitores.

Kafan é um novo vírus ransomware que infecta usuários do Windows para criptografar dados pessoais e extorquir dinheiro das vítimas para descriptografá-los. Uma vez instalado, o ransomware executará uma verificação rápida dos dados armazenados e iniciará o processo de criptografia usando algoritmos criptográficos fortes. Além disso, o malware também atribuirá seu próprio .kafan extensão para distinguir arquivos bloqueados. Por exemplo, um arquivo originalmente chamado 1.pdf mudará para 1.pdf.kafan e tornar-se inacessível. Por fim, o criptografador de arquivos gera uma nota de resgate chamada help_you.txt com instruções sobre como retornar os dados. A mensagem de resgate exige que as vítimas enviem uma mensagem de e-mail para os cibercriminosos (PYTHONHAVENONAME@163.COM) e paguem pela descriptografia. Ao enviar a mensagem, as vítimas também são solicitadas a escrever seu ID no título/assunto da mensagem. Diz-se que o preço da desencriptação depende da rapidez com que as vítimas estabelecem comunicação com os atacantes. Os cibercriminosos empregam tais técnicas de manipulação para colocar pressão extra sobre as vítimas e potencialmente forçá-las a concordar em pagar o resgate.

Recov é uma nova variante de ransomware da família VoidCrypt. Depois de se infiltrar em um sistema, ele executa a criptografia de dados (para evitar que as vítimas acessem os arquivos) e diz às vítimas para pagar por um kit de software de descriptografia + chave RSA para desbloquear os arquivos. As instruções sobre como fazê-lo são apresentadas dentro do Dectryption-guide.txt bilhete de resgate. Mais uma coisa que esse ransomware faz é atribuir alterações visuais aos arquivos criptografados - uma sequência de caracteres que consiste no ID da vítima, no endereço de e-mail dos cibercriminosos e no .Recov extensão será adicionada aos nomes dos arquivos. Por exemplo, um arquivo originalmente chamado 1.pdf será alterado para 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov ou similarmente. Os cibercriminosos exigem que as vítimas estabeleçam contato com eles por e-mail (Recoverifiles@gmail.com ou Recoverifiles@protonmail.com em caso de não resposta). Embora não esteja claro o que os extorsionários precisam, é provável que eles exijam que suas vítimas paguem uma determinada taxa por uma ferramenta de descriptografia e chave RSA que estão disponíveis apenas para os desenvolvedores.

Kadavro Vector é um programa de ransomware voltado para usuários que falam inglês, russo e norueguês. O objetivo desse vírus é criptografar dados potencialmente importantes e extorquir dinheiro das vítimas para sua descriptografia. Ao tornar os arquivos inacessíveis, o malware também anexa o .vector_ extensão para arquivos de destino. Por exemplo, um arquivo originalmente chamado 1.pdf vai experimentar uma mudança para 1.pdf.vector_ e redefina seu ícone original. Logo após a criptografia bem-sucedida, o Kadavro Vector abre à força sua janela pop-up contendo as diretrizes de descriptografia. Além disso, os papéis de parede da área de trabalho também são alterados. A nota de resgate instrui as vítimas a não desligarem a Internet e seus computadores, pois isso pode causar danos aos dados criptografados. Para devolver os dados, as vítimas precisam comprar a criptomoeda Monero (XMR) no valor de $ 250 e enviá-la para o endereço criptográfico dos cibercriminosos. Além disso, há também um cronômetro indicando quanto tempo os usuários têm para pagar pela descriptografia. Caso as vítimas não consigam fazê-lo dentro do prazo alocado, diz-se que todos os arquivos serão excluídos usando algoritmos de ponta, tornando-os permanentemente irrecuperáveis ​​no futuro. Ao fazer isso, os agentes de ameaças tentam colocar pressão extra nas vítimas e, assim, forçá-las a atender às demandas de descriptografia.