Ransomware

Water Ransomware é um tipo de criptovírus, um software malicioso projetado para criptografar arquivos no computador da vítima e exigir um resgate pela sua descriptografia. Isso pertence a Phobos família de ransomware. Esta ameaça cibernética é particularmente insidiosa, pois não só restringe o acesso a dados importantes, mas também acarreta o risco de perda permanente de dados e de exigências financeiras. Depois que um computador é infectado, o Water Ransomware criptografa os arquivos do usuário com um algoritmo de criptografia sofisticado e renomeia os arquivos adicionando uma extensão exclusiva. O novo nome do arquivo inclui o ID da vítima, o endereço de e-mail do invasor e o .water extensão, marcando efetivamente os arquivos como inacessíveis. Por exemplo arquivo 1.txt será alterado para 1.txt.id[random-ID].[aquaman@rambler.ua].water. O ransomware gera uma nota de resgate, que normalmente é encontrada em arquivos chamados info.hta e info.txt. Esta nota instrui as vítimas sobre como entrar em contato com os invasores para pagar o resgate. Alerta contra tentativas de autodescriptografia ou uso de software de terceiros, alertando que tais ações podem levar à perda irreversível de dados. A nota também desaconselha a procura de ajuda de empresas intermediárias, o que poderia levar ao aumento dos resgates ou a esquemas fraudulentos.

Looy Ransomware é um software malicioso que pertence à família de ransomware STOP/DJVU, que é conhecida por atingir usuários individuais e empresas. Ele foi projetado para criptografar arquivos no computador infectado, tornando-os inacessíveis ao usuário e, em seguida, exige o pagamento de um resgate em troca da chave de descriptografia. Ao criptografar os arquivos, Looy Ransomware anexa o .looy extensão para os nomes dos arquivos, o que é um indicador claro da infecção. Looy Ransomware usa um algoritmo de criptografia robusto para bloquear arquivos. Embora o tipo específico de criptografia não seja detalhado nas fontes fornecidas, é comum que ransomware como Looy use AES (Advanced Encryption Standard) ou um método seguro semelhante para criptografar arquivos. Após a criptografia, Looy Ransomware cria uma nota de resgate chamada _readme.txt e o coloca na área de trabalho ou em pastas contendo arquivos criptografados. Esta nota contém instruções para a vítima sobre como entrar em contato com os invasores e pagar o resgate para potencialmente receber a chave de descriptografia.

Vook Ransomware é um software malicioso que pertence à família de ransomware STOP/Djvu, conhecida por seu amplo impacto em dados pessoais e organizacionais. Esta variante de ransomware criptografa arquivos nos sistemas infectados, tornando-os inacessíveis aos usuários e exige um resgate pela descriptografia. Depois que o Vook Ransomware infecta um computador, ele emprega o algoritmo de criptografia Salsa20 para bloquear arquivos, anexando o .vook extensão para cada arquivo criptografado. Isso torna os arquivos inacessíveis e facilmente identificáveis ​​como criptografados por essa variedade específica de ransomware. Após o processo de criptografia, o Vook Ransomware gera uma nota de resgate chamada _readme.txt e o coloca em pastas contendo arquivos criptografados. Esta nota contém instruções para as vítimas sobre como entrar em contato com os invasores por e-mail e o valor do resgate, normalmente exigido em criptomoedas. A nota também pode oferecer a descriptografia de um único arquivo gratuitamente como uma “garantia” de que os invasores podem descriptografar os arquivos mediante pagamento.

Rocklee Ransomware é uma variante da família Makop de ransomware que tem como alvo computadores para criptografar dados e exigir um resgate pela chave de descriptografia. Após a infecção, o Rocklee Ransomware criptografa arquivos e modifica seus nomes de arquivos anexando o ID da vítima, o endereço de e-mail do invasor e o .rocklee extensão. Por exemplo, um arquivo chamado 1.jpg seria renomeado para 1.jpg.[random-ID].[cyberrestore2024@onionmail.org].rocklee. O algoritmo de criptografia específico usado pelo Rocklee Ransomware não é detalhado nas fontes fornecidas. No entanto, ransomware desta natureza normalmente usa algoritmos de criptografia fortes que são difíceis de decifrar sem a chave de descriptografia exclusiva mantida pelos invasores. Rocklee Ransomware lança uma nota de resgate chamada +README-WARNING+.txt nos diretórios com arquivos criptografados. Esta nota informa às vítimas que os seus ficheiros foram encriptados e fornece instruções sobre como pagar o resgate para recuperar os ficheiros. Também inclui informações de contato dos invasores e alerta contra a tentativa de descriptografar arquivos sem a chave adequada, pois isso pode causar mais danos.

Kool Ransomware é um tipo de software malicioso que pertence à categoria mais ampla de ransomware. Ele foi projetado para se infiltrar no computador do usuário, criptografar arquivos e exigir um resgate pela chave de descriptografia. Kool Ransomware faz parte da família de ransomware STOP/Djvu, conhecida por atingir usuários do Windows e criptografar arquivos com várias extensões. Depois que o Kool Ransomware infecta um computador, ele criptografa os arquivos e anexa uma extensão de arquivo específica aos arquivos criptografados, que é .kool nesse caso. A criptografia usada pelo Kool Ransomware é geralmente um algoritmo simétrico ou assimétrico que torna os arquivos inacessíveis sem a chave de descriptografia exclusiva. Depois de criptografar os arquivos, o Kool Ransomware gera uma nota de resgate, normalmente chamada _readme.txt ou similar e o coloca em pastas que contêm os arquivos criptografados. Esta nota contém instruções para a vítima sobre como pagar o resgate e muitas vezes inclui um prazo e avisos sobre as consequências do não cumprimento. Neste artigo, mostramos como remover o Kool Ransomware e descriptografar arquivos .kool gratuitamente no Windows 11, 10, 8, 7.

Proton Ransomware é um software malicioso projetado para criptografar arquivos no computador da vítima, tornando-os inacessíveis até que um resgate seja pago. Proton Ransomware é um tipo de malware que criptografa arquivos no computador infectado, adicionando extensões específicas aos nomes dos arquivos e exigindo um resgate da vítima para restaurar o acesso aos arquivos criptografados. Foi descoberto em várias formas, com algumas variantes anexando extensões como .c77l, .ZENEX or .SWIFT extensões para os arquivos afetados junto com e-mails (.[decrypt.computer@gmail.com].c77L, [decrypthelp0@gmail.com].ZENEX, .[swift_1@tutamail.com].SWIFT). Basicamente, SWIFT Ransomware e ZENEX Ransomware são apenas variações do Proton Ransomware. Essas variações criam os seguintes arquivos de notas de resgate: #Zenex-Help.txt, #SWIFT-Help.txt or #Restore-files.txt. O ransomware usa algoritmos AES (Advanced Encryption Standard) e ECC (Elliptic Curve Cryptography) para criptografar arquivos, garantindo que a criptografia seja forte o suficiente para evitar a descriptografia não autorizada sem a chave exclusiva mantida pelos invasores. Este artigo tem como objetivo fornecer uma visão geral abrangente do Proton Ransomware, incluindo seus métodos de infecção, as extensões de arquivo que adiciona, os algoritmos de criptografia que usa, a nota de resgate que cria e as possibilidades de descriptografia.

LockBit 3.0, também conhecido como LockBit Black, é uma variedade sofisticada de ransomware que criptografa dados em sistemas direcionados, interrompendo o acesso aos recursos do sistema e da rede. Faz parte de uma operação Ransomware como serviço (RaaS), o que significa que é usado por afiliados que o implantam em ataques cibernéticos em troca de uma parte dos lucros do resgate. O LockBit 3.0 é conhecido por seus recursos de criptografia rápida e está ativo pelo menos desde março de 2022. Durante o processo de criptografia, o LockBit 3.0 acrescenta uma extensão específica aos arquivos criptografados. Esta extensão pode variar, mas os exemplos incluem "HLJkNskOq" e "19MqZqZ0s". O ransomware altera os ícones dos arquivos criptografados e altera o papel de parede da área de trabalho para informar as vítimas sobre o ataque. LockBit 3.0 lança uma nota de resgate, normalmente chamada [string_aleatória].README.txt ou um arquivo de texto semelhante, em todas as pastas criptografadas. A nota contém instruções para entrar em contato com os invasores e pagar o resgate, muitas vezes exigindo o pagamento em criptomoeda.

RansomHub Ransomware é um tipo de software malicioso que se enquadra na categoria de vírus de criptografia de arquivos. Ele foi projetado para se infiltrar em sistemas de computador, criptografar arquivos e exigir resgate pela chave de descriptografia. Ao contrário do ransomware tradicional, que criptografa arquivos e exige pagamento, o RansomHouse, associado ao RansomHub, concentra-se em violar redes por meio de vulnerabilidades para roubar dados e coagir as vítimas a pagar sem necessariamente usar criptografia. O ransomware RansomHub pode adicionar várias extensões de arquivo aos arquivos criptografados, como .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky ou uma extensão de 6 a 7 comprimentos que consiste em caracteres aleatórios. Os algoritmos de criptografia específicos usados ​​pelo RansomHub não são detalhados, mas o ransomware normalmente emprega métodos de criptografia fortes, como AES ou RSA, para evitar a descriptografia não autorizada. O RansomHub cria notas de resgate com instruções para as vítimas sobre como pagar o resgate e potencialmente recuperar seus arquivos. Nomes comuns de arquivos de notas de resgate incluem README_{string aleatória}.txte vários outros. A localização da nota de resgate normalmente está nos diretórios de arquivos criptografados.