Ransomware

Coty Ransomware faz parte de um grande família de STOP/Djvu Ransomware. Ele recebeu esse nome porque as versões originais do malware adicionaram o .stop (mais tarde .djvu) e os criptografou com uma combinação de criptografia AES e RSA para tornar os arquivos inacessíveis no computador Windows infectado. Coty Ransomware de acordo com seu nome adiciona .coty extensão. Esta versão apareceu no final de abril de 2023. Depois que o ransomware Coty/STOP conclui o procedimento de criptografia, o vírus cria uma nota de resgate para _readme.txt arquivo. A mensagem dos golpistas diz que as vítimas devem pagar o resgate em 72 horas. Os autores do vírus STOP estão exigindo US$ 490 durante os primeiros três dias e US$ 980 após esse período. Para fornecer confirmação, os hackers permitem que 1-3 arquivos "não muito grandes" sejam enviados para descriptografia gratuita para support@freshmail.top or datarestorehelp@airmail.cc para um teste.

Cooper é um vírus ransomware que infecta sistemas para criptografar arquivos potencialmente importantes e exige dinheiro para sua descriptografia. Junto com a execução de criptografia segura, ele também atribui o .cooper extensão aos arquivos afetados. Por exemplo, um arquivo originalmente chamado 1.pdf mudará para 1.pdf.cooper e perder seu ícone original. Após essa alteração, os arquivos não poderão mais ser usados, mesmo que você remova a extensão adicionada. Para reverter essas alterações, as instruções de descriptografia são apresentadas no Cooper_Recover.txt arquivo. Os cibercriminosos pedem às vítimas que os contatem por e-mail e paguem por um software de descriptografia exclusivo. Atores de ameaças são as únicas pessoas que têm acesso a ele, e diz-se que nenhuma outra ferramenta é capaz de fornecer descriptografia para arquivos .cooper criptografados. Durante o contato, as vítimas também são solicitadas a incluir o ID na linha de assunto de uma mensagem de e-mail. Infelizmente, a menos que você tenha um backup disponível que possa ser usado para recuperar cópias de arquivos criptografados, pagar o resgate aos cibercriminosos pode ser a única maneira de devolver seus arquivos. Várias infecções de ransomware usam algoritmos de criptografia fortes e geram chaves online, garantindo que a descriptografia seja quase impossível sem a ajuda de desenvolvedores iniciais.

Coza é uma nova amostra de ransomware desenvolvida pelo notório grupo STOP/Djvu de extorsionários. Assim como muitas outras variantes publicadas por esses cibercriminosos, esta emprega um padrão de criptografia e extorsão quase idêntico. Ao se instalar em uma máquina infectada, o vírus começa a escanear e, portanto, criptografar dados potencialmente importantes. Ao fazer isso, o vírus visa criar mais incentivos para as vítimas pagarem pela descriptografia proposta pelos invasores. Além da criptografia, o malware também garante que as vítimas possam diferenciar os arquivos bloqueados dos não bloqueados - simplesmente atribuindo o .coza extensão. Por exemplo, um arquivo anteriormente chamado 1.xlsx mudará para 1.xlsx.coza, 1.pdf para 1.pdf.coza e assim por diante com outros tipos de arquivo de destino. Para desfazer a criptografia, diz-se que as vítimas seguem as instruções dentro do _readme.txt nota de texto.

Pwpdvl é um vírus ransomware projetado para extorquir dinheiro das vítimas executando a criptografia de dados. Em outras palavras, as pessoas afetadas por esse malware não poderão mais acessar e visualizar seus arquivos. Quando o Pwpdvl codifica arquivos potencialmente importantes, ele também atribui o ID da vítima, junto com o .pwpdvl extensão no final. Por exemplo, um arquivo como 1.pdf irá alterar para algo como 1.pdf.[ID-9ECFA84E].pwpdvl e descanse seu ícone original. Para fazer as vítimas pagarem pela recuperação, o criptografador de arquivos cria uma nota de texto de resgate (RESTORE_FILES_INFO.txt), que contém instruções de descriptografia. É exigido que as vítimas entrem em contato com os vigaristas (via Bitmessage ou qTOX) e paguem pela descriptografia na criptomoeda Monero (XMR). Antes de enviar o pagamento, os cibercriminosos também se oferecem para testar a descriptografia gratuita – as vítimas podem enviar 2 arquivos criptografados (não importantes e com no máximo 1 MB) e desbloqueá-los gratuitamente. Este é um tipo de garantia que os extorsionários oferecem para provar suas habilidades de descriptografia e dar confiança extra para pagar o resgate. No entanto, observe que confiar em cibercriminosos é sempre um risco. Alguns usuários são enganados e não recebem as ferramentas/chaves de descriptografia prometidas, independentemente de atender às demandas. Apesar disso, infelizmente, apenas os desenvolvedores de ransomware possuem as chaves de descriptografia necessárias para restaurar com segurança o acesso aos dados. A descriptografia independente usando ferramentas de terceiros ou cópias de sombra do Windows pode ser possível, mas em casos muito raros, quando o ransomware contém falhas ou não conseguiu criptografar os dados como pretendido.

VapeV7 é um vírus ransomware projetado para criptografar dados em sistemas infectados com sucesso. Ao fazer isso, o vírus garante que os usuários não possam mais acessar/visualizar seus próprios dados, o que permite que os agentes de ameaças exijam dinheiro para descriptografá-los. Os arquivos criptografados aparecerão com o novo .VapeV7 extensão e redefinir seus ícones originais para em branco. Depois disso, as vítimas receberão instruções de descriptografia em uma janela pop-up dedicada. Para restaurar o acesso aos dados, as vítimas são obrigadas a enviar $ 200 para a carteira BTC dos cibercriminosos (através de um endereço dentro da janela pop-up) e notificar os extorsionários com o ID da transação por e-mail. Observe que as carteiras BTC e os e-mails de contato estão mudando a cada segundo, criando muita incerteza sobre qual endereço de carteira e e-mail usar. Além disso, as carteiras BTC exibidas são realmente incorretas e, portanto, inexistentes. Um fenômeno tão estranho pode ser um sinal de que o VapeV7 Ransomware está bugado ou ainda em desenvolvimento. No entanto, não exclui que os cibercriminosos por trás desse ransomware removerão os bugs e atacarão futuras vítimas com diretrizes de descriptografia mais confiáveis. Infelizmente, apesar desse fato, é menos provável que os arquivos criptografados pelo VapeV7 Ransomware sejam descriptografados manualmente.

Charmant é um programa malicioso que se enquadra na categoria de ransomware. O malware desse tipo é projetado para criptografar o acesso aos dados e fazer com que as vítimas paguem por sua descriptografia. Ao criptografar o acesso a arquivos armazenados no sistema, essa variante de ransomware também atribui o .charmant extensão para destacar os dados bloqueados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf e perder seu ícone original. Imediatamente após a conclusão da criptografia, uma nota de texto chamada #RECOVERY#.txt é criado para apresentar diretrizes de descriptografia. Para estabelecer contato com os cibercriminosos e solicitar a descriptografia dos arquivos bloqueados, as vítimas são instruídas a escrever via e-mail ou cliente Jabber (um serviço de mensagens seguro). Após uma comunicação bem-sucedida com os cibercriminosos, as vítimas provavelmente serão obrigadas a pagar uma determinada taxa de resgate para obter um software especial e uma chave de descriptografia. Além disso, a mensagem também adverte contra a execução de quaisquer modificações nos arquivos ou a tentativa de descriptografá-los usando ferramentas de terceiros, pois tais ações podem causar danos permanentes. Embora essas informações possam ser inicialmente projetadas para assustar usuários inexperientes e, eventualmente, pagar pela descriptografia, na verdade é verdade. Sem as chaves de descriptografia corretas armazenadas pelos cibercriminosos, raramente é possível descriptografar os arquivos completamente e sem riscos de danos. No momento da redação deste artigo, nenhuma ferramenta de terceiros é conhecida por ser capaz de descriptografar os dados bloqueados. Em casos raros, as ferramentas de desencriptação genéricas podem funcionar apenas se o ransomware contiver falhas ou não conseguir encriptar os ficheiros da forma pretendida.

Recentemente, especialistas observaram a epidemia do vírus Boty Ransomware (uma variante de STOP Ransomware or Djvu Ransomware). Este malware apareceu em abril de 2023. É um vírus de criptografia, que usa um forte algoritmo de criptografia AES-256 para criptografar os arquivos do usuário e os torna indisponíveis para uso sem uma chave de descriptografia. As últimas versões desta praga adicionam .boty extensões aos arquivos afetados. Boty Ransomware cria um arquivo de texto especial, chamado "nota de resgate" e nomeado _readme.txt. Nesse arquivo de texto, os malfeitores fornecem detalhes de contato, informações gerais sobre criptografia e opções de descriptografia. O vírus o copia na área de trabalho e nas pastas com arquivos criptografados. Os malfeitores podem ser contatados por e-mail: support@freshmail.top e datarestorehelp@airmail.cc.

Boza Ransomware é uma nova variante do STOP/Djvu Ransomware que surgiu no início de abril de 2023. Este ransomware adiciona o .boza extensão aos arquivos criptografados, tornando-os inacessíveis ao usuário. Como outras variantes de ransomware, o Boza Ransomware usa algoritmos de criptografia avançados para bloquear arquivos, exigindo um resgate em troca da chave de descriptografia. O ransomware visa uma ampla variedade de arquivos, incluindo documentos, imagens, vídeos, áudios e outros dados do usuário. Depois que o ransomware infecta um computador, ele verifica todo o sistema em busca de arquivos e os criptografa usando o algoritmo de criptografia AES-256, tornando-os inacessíveis. O ransomware também lança uma nota de resgate chamada _readme.txt, fornecendo instruções para o usuário pagar o resgate ao invasor em troca da chave de descriptografia. Os invasores também usam uma chave de criptografia exclusiva para cada sistema infectado, tornando difícil para os pesquisadores de segurança desenvolver uma ferramenta de descriptografia universal.