Ransomware

Kiop Ransomware é outro representante STOP/Djvu vírus, que atormenta os usuários desde 2017. Esta versão específica foi lançada no início de abril de 2023 e adiciona .kiop extensão a todos os arquivos criptografados, como pode ser visto em seu nome. Fora isso, é o mesmo vírus que criptografa arquivos e exige resgate de centenas de seus predecessores. Ransomware desse tipo usa a mesma criptografia, que infelizmente ainda não pode ser descriptografada. O Kiop Ransomware, como outras variantes do STOP/Djvu Ransomware, normalmente usa uma combinação de algoritmos de criptografia simétricos e assimétricos para criptografar os arquivos da vítima. Especificamente, o ransomware usa a criptografia AES-256 para criptografar os arquivos da vítima de forma simétrica e, em seguida, usa a criptografia RSA-2048 para criptografar a chave de criptografia AES de forma assimétrica. Isso significa que o invasor possui a chave RSA privada necessária para descriptografar a chave de criptografia AES e, portanto, pode descriptografar os arquivos da vítima após receber o pagamento. As únicas coisas que mudaram nos últimos anos são extensões e endereços de e-mail de contato. O nome da nota de resgate permanece inalterado (_readme.txt) e você pode verificar o conteúdo na caixa de texto abaixo.

Skylock é uma nova variante de ransomware originária da família MedusaLocker. Após a infiltração bem-sucedida, o vírus criptografa o acesso aos arquivos (com base na criptografia AES e RSA) e atribui o .skylock extensão a eles. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf após a criptografia bem-sucedida. Para reverter o dano e devolver os dados bloqueados, os cibercriminosos apresentam instruções de descriptografia dentro do How_to_back_files.html arquivo. Em geral, as vítimas são informadas de que precisam comprar um software de descriptografia especial dos cibercriminosos por trás da infecção. Para tal, têm de estabelecer contacto com os extorsionários através de um dos canais de comunicação (seja através do link no navegador TOR ou dos endereços de e-mail fornecidos). Também é dito que as vítimas podem enviar de 2 a 3 arquivos que não contêm nenhuma informação importante e recuperá-los descriptografados gratuitamente. Isso é para provar que os agentes de ameaças são realmente capazes de descriptografar os arquivos. Se as vítimas se recusarem a entrar em contato com os extorsionários e pagar pela descriptografia, seus dados serão vazados para recursos públicos, o que pode incorrer em danos à reputação da empresa ou à identidade pessoal dos usuários. Infelizmente, apesar do fato de que a descriptografia pode ser inacessível ou desnecessária para alguns usuários, os cibercriminosos geralmente são os únicos capazes de descriptografar o acesso aos dados.

Se seus arquivos se tornaram indisponíveis, ilegíveis e foram .kiwm extensões, isso significa que seu computador está infectado com Kiwm Ransomware (variação de STOP Ransomware ou como é, às vezes, chamado DjVu Ransomware). É um programa malicioso que pertence ao grupo de vírus ransomware. Esta versão específica foi lançada no início de abril de 2023. Este vírus pode infectar quase todas as versões modernas dos sistemas operacionais da família Windows, incluindo Windows 7, Windows 8, Windows 10 e o mais recente Windows 11. O malware usa uma criptografia híbrida modo e uma chave RSA longa, que praticamente elimina a possibilidade de selecionar uma chave para autodescriptografia de arquivos. Como outros vírus semelhantes, o objetivo do Kiwm Ransomware é forçar os usuários a comprar o programa e a chave necessária para descriptografar os arquivos que foram criptografados. A versão, que hoje está em pesquisa, é quase idêntica às anteriores, exceto por novos e-mails usados ​​para contatar malfeitores e novas extensões adicionadas.

Kitz Ransomware (pertence à família de STOP Ransomware or Djvu Ransomware) é um vírus de criptografia de arquivos de alto risco, que afeta os sistemas Windows. No início de abril de 2023, a nova geração desse malware começou a codificar arquivos usando .kitz extensões. O vírus tem como alvo tipos de arquivos importantes e valiosos, como fotos, documentos, vídeos, arquivos, arquivos criptografados que se tornam inutilizáveis. Ransomware puts _readme.txt arquivo, que é chamado de "nota de resgate" ou "nota exigente de resgate" na área de trabalho e nas pastas com arquivos criptografados. Os desenvolvedores usam os seguintes e-mails para contato: support@freshmail.top e datarestorehelp@airmail.cc. Os hackers exigem $ 980 para a descriptografia de seus arquivos (a mensagem afirma que as vítimas receberão um desconto de 50% se entrarem em contato com os cibercriminosos dentro de 72 horas após a criptografia). De acordo com muitos relatos, os malfeitores geralmente não respondem às vítimas quando recebem o pagamento do resgate. Nós não recomendamos pagar nenhum dinheiro. Arquivos criptografados por algumas versões do Kitz Ransomware podem ser descriptografados com a ajuda de STOP Djvu Decryptor.

BlackByteNT é uma infecção de ransomware recentemente descoberta. Depois que o sistema for infiltrado, todos os tipos de arquivos potencialmente importantes ficarão inacessíveis devido à criptografia completa. Além de criptografar o acesso aos dados, o criptografador de arquivos também substitui os nomes dos arquivos originais por uma sequência aleatória de caracteres e o .blackbytent extensão no final. Por exemplo, um arquivo como 1.pdf vai mudar para algo como dnoJJlc=.blackbytent e perder seu ícone original também. A última parte significativa do ransomware é BB_Readme_[random_string].txt⁣ – uma nota de resgate que contém diretrizes de descriptografia. Os cibercriminosos dizem que os dados foram criptografados e exfiltrados para seus servidores. Para devolver o acesso e evitar que os dados acabem vazando, exige-se das vítimas que cooperem com os extorsionários e sigam as informações apresentadas através do link TOR fornecido na nota. Se as vítimas atrasarem a comunicação, o preço da descriptografia aumentará e, dentro de 4 dias após a inação, as vítimas não poderão mais usar os serviços de descriptografia dos criminosos cibernéticos. Por fim, os cibercriminosos alertam as vítimas contra o uso de ferramentas de descriptografia de terceiros, assumindo que há risco de danificá-las e, portanto, perder a possibilidade de descriptografá-las.

STOP Ransomware (Djvu Ransomware) é oficialmente o vírus de criptografia mais comum no mundo. O criptografador opera de acordo com o esquema clássico: ele criptografa arquivos, adiciona uma nova extensão a eles e coloca uma nota de resgate na máquina infectada. Mais de 50% dos computadores infectados por ransomware estão infectados com STOP Ransomware. Tem segundo nome – ⁣Djvu Ransomware, após a extensão .djvu, que foi anexado aos arquivos nos primeiros computadores infectados. Com várias pequenas e grandes modificações, o vírus continua sua atividade devastadora nos dias atuais. Uma variação recente de malware (Kifr Ransomware apareceu em abril de 2023) acrescenta .kifr extensão para arquivos. Kifr Ransomware criptografa os arquivos das vítimas usando o algoritmo de criptografia AES. AES (Advanced Encryption Standard) é um algoritmo de criptografia simétrica amplamente utilizado que é considerado seguro e é usado para proteger dados confidenciais em muitos aplicativos. A criptografia AES usa uma chave secreta para criptografar e descriptografar dados, e a força da criptografia depende do comprimento da chave usada. Obviamente, os arquivos afetados ficam inacessíveis sem um "descriptografador" especial, que deve ser comprado de hackers.

Nitz Ransomware é uma grande família de vírus de criptografia com mais de um ano de história. Ele passou por várias modificações visuais e técnicas durante o tempo. Este artigo irá descrever as propriedades peculiares das versões mais recentes deste malware. Desde o início de abril de 2023, o STOP Ransomware começou a adicionar as seguintes extensões aos arquivos criptografados: .nitz. E após o nome da extensão, ela se chama "Nitz Ransomware". O vírus modifica o arquivo "hosts" para bloquear atualizações do Windows, programas antivírus e sites relacionados a notícias de segurança. O processo de infecção também se parece com a instalação de atualizações do Windows, o malware gera uma janela falsa e uma barra de progresso para isso. Esta versão do STOP Ransomware agora usa os seguintes endereços de e-mail: support@freshmail.top e datarestorehelp@airmail.cc. STOP Ransomware cria arquivo de nota de resgate _readme.txt.

Se você chegou a este artigo, provavelmente foi atingido por Niwm Ransomware, que criptografava seus arquivos e modificava suas extensões para .niwm. O nome Niwm é dado apenas a este malware para ajudar os usuários a encontrar a solução de remoção e descriptografia e de acordo com o sufixo que ele anexa. Na verdade, esta é apenas a 681ª versão do STOP Ransomware (as vezes chamado Djvu Ransomware), que está ativo há mais de 5 anos e se tornou uma das famílias de ransomware mais difundidas. O Niwm foi lançado nos primeiros dias de abril de 2023. Infelizmente, há poucas chances de descriptografia 100% agora, pois ele usa algoritmos de criptografia fortes; no entanto, com as instruções abaixo, você poderá recuperar alguns arquivos. usa a combinação de algoritmos de criptografia RSA e AES para criptografar os arquivos da vítima. O algoritmo RSA é usado para criptografar a chave AES e o algoritmo AES é usado para criptografar os arquivos da vítima. A chave AES é gerada aleatoriamente para cada vítima e é armazenada no servidor do invasor. Mas primeiro você precisa remover os arquivos do ransomware e eliminar seus processos. Abaixo está um exemplo de nota de resgate do Niwm Ransomware, que ele deixa na área de trabalho (_readme.txt). É bastante típico e permanece quase o mesmo com pequenas alterações por vários anos.