Ransomware

Cylance é o nome de uma infecção de ransomware que tem como alvo usuários de Windows e Linux. Os usuários infectados com esse tipo de malware não poderão mais acessar seus dados devido à criptografia. Além disso, as vítimas também verão os arquivos afetados modificados com o .Cylance extensão. Depois disso, eles não estarão mais acessíveis e as vítimas terão que seguir as instruções de descriptografia na nota de resgate gerada (chamada CYLANCE_README.txt). Observe que o Cylance Ransomware não tem nada a ver com o Cylance by BlackBerry - soluções legítimas de segurança cibernética corporativa. Em geral, a nota de resgate diz que os dados da vítima foram criptografados e os cibercriminosos são os únicos detentores de chaves privadas capazes de descriptografá-los. Para obter essa chave e, presumivelmente, o software para executar a descriptografia, as vítimas são instruídas a entrar em contato com os vigaristas por e-mail e transferir dinheiro para eles. O preço não é divulgado e provavelmente calculado para cada vítima separadamente. Além disso, os cibercriminosos também se oferecem para testar a desencriptação gratuitamente enviando um ficheiro encriptado. Não importa o quão confiáveis ​​os cibercriminosos pareçam, é sempre desaconselhado colaborar com eles e pagar o resgate. Muitas vítimas acabam sendo enganadas e não recebem as ferramentas de descriptografia prometidas. Embora esse não seja o caso do Cylance Ransomware, o risco existe.

Nifr Ransomware, sendo parte de STOP Ransomware (DjVu Ransomware) família, é um vírus criptografador elaborado, que criptografa os arquivos do usuário e os torna inacessíveis. O malware usa um algoritmo de criptografia AES (Salsa20) inquebrável e a descriptografia só é possível em 2-3% dos casos. Ele primeiro gera uma chave de criptografia AES-256 exclusiva para cada arquivo criptografado, que é usado para criptografar o conteúdo do arquivo. Esse processo é conhecido como criptografia simétrica, pois a mesma chave é usada para criptografar e descriptografar o arquivo. Depois de criptografar o arquivo com a chave AES-256, o Nifr Ransomware criptografa a chave AES-256 com uma chave pública RSA-1024, incluída no código do ransomware. Este processo é conhecido como criptografia assimétrica, pois usa chaves diferentes para criptografia e descriptografia. A versão recente do STOP Ransomware adiciona o seguinte sufixo ou extensão: .nifr. A variação de vírus correspondente recebeu nomes: Nifr Ransomware. Após a criptografia, o ransomware cria _readme.txt arquivo, que os especialistas chamam de "nota de resgate", e abaixo você pode se familiarizar com o conteúdo deste arquivo. A nota contém instruções sobre como entrar em contato com os operadores de ransomware e pagar o resgate para receber a chave de descriptografia. O ransomware é normalmente distribuído por meio de e-mails de spam, atualizações falsas de software e cracks/keygens de software. É importante observar que pagar o resgate não é recomendado, pois incentiva os criminosos e não há garantia de que a chave de descriptografia será fornecida.

D7k é o nome de uma infecção de ransomware recentemente descoberta. Assim como outras infecções dentro desta categoria, ele foi projetado para criptografar os dados armazenados no sistema e extorquir dinheiro das vítimas para descriptografá-los. Durante a criptografia, todos os arquivos direcionados serão .D7k extensão e redefinir seus ícones para branco. Como resultado, os usuários não poderão mais acessar seus arquivos, mesmo após remover manualmente a extensão recém-atribuída. Quando a criptografia bem-sucedida chega ao fim, o vírus cria um arquivo de texto chamado note.txt, que contém diretrizes de descriptografia. A nota contém um pequeno texto exigindo $ 500 dólares para descriptografar o arquivo. Este valor deve ser enviado para a carteira bitcoin anexada por cibercriminosos. A mensagem não inclui nenhum canal de comunicação, o que torna o processo de descriptografia ambíguo. Pagar o resgate não é recomendado porque muitos cibercriminosos enganam suas vítimas e não enviam os meios de descriptografia prometidos em troca. No entanto, neste caso, parece ser ainda mais arriscado devido à falta de canais de comunicação para entrar em contato com os extorsionários. Apesar disso, os cibercriminosos geralmente são as únicas figuras capazes de desbloquear o acesso aos dados de forma completa e segura. No momento em que este artigo foi escrito, nenhuma ferramenta pública de terceiros é conhecida por ignorar as cifras atribuídas pelo D7k Ransomware. A descriptografia usando ferramentas de terceiros ou cópias de sombra do Windows é possível apenas em casos raros, quando o ransomware é falho ou falha acidentalmente durante sua operação por qualquer motivo. Caso contrário, as únicas maneiras de recuperar seus dados são colaborando com desenvolvedores de ransomware ou recuperando dados de cópias de backup existentes. Backups são cópias de dados armazenados em dispositivos externos, como unidades USB, discos rígidos externos ou SSDs.

Jycx Ransomware (em outra classificação STOP Ransomware or Djvu Ransomware) é um malware prejudicial, que bloqueia o acesso aos arquivos do usuário criptografando-os e requer uma compra. Foi lançado nos últimos dias de março de 2023 e atingiu dezenas de milhares de computadores. O vírus usa um algoritmo de criptografia inquebrável (AES-256 com chave RSA-1024) e exige um resgate a ser pago em Bitcoins. No entanto, devido a alguns erros de programação, há casos em que seus arquivos podem ser descriptografados. Uma versão do STOP Ransomware, que estamos considerando hoje, acrescenta .jycx extensões para arquivos criptografados e, portanto, recebeu o nome de Jycx Ransomware. Após a criptografia, apresenta o arquivo _readme.txt à vítima. Este arquivo de texto contém informações sobre a infecção, detalhes de contato e declarações falsas sobre garantias de descriptografia. Os seguintes e-mails são usados ​​por malfeitores para comunicação: support@freshmail.top e datarestorehelp@airmail.cc.

Hairysquid é uma variante recém-descoberta do Mimic ransomware. Após a penetração, ele modifica o Windows GroupPolicy, desativa a proteção do Windows Defender e desativa outros recursos do Windows para excluir qualquer dissuasão de sua atividade maliciosa. O objetivo desta infecção é criptografar o acesso aos dados armazenados no sistema e exigir dinheiro para sua descriptografia. Durante os processos de criptografia, o vírus anexa o .Hairysquid extensão a todos os arquivos afetados. Uma vez feito, um arquivo como 1.pdf vai virar para 1.pdf.Hairysquid e mude seu ícone eventualmente. As instruções sobre como descriptografar os dados bloqueados são apresentadas no READ_ME_DECRYPTION_HAIRYSQUID.txt note, que é criado junto com a criptografia bem-sucedida. No geral, diz-se que as vítimas foram atacadas por ransomware, que criptografaram seus dados. Para reverter os danos e recuperar os arquivos, as vítimas devem entrar em contato com os vigaristas por meio de um dos canais de comunicação fornecidos (TOX messenger, ICQ messenger, Skype e e-mail) e pagar pela descriptografia em Bitcoins. Diz-se que o preço da desencriptação é calculado com base no número e no valor potencial dos dados encriptados. Além disso, também é permitido testar a descriptografia gratuitamente enviando 3 arquivos bloqueados para cibercriminosos. Infelizmente, geralmente é impossível descriptografar dados bloqueados sem o envolvimento dos próprios cibercriminosos.

Jyos Ransomware (aka Djvu Ransomware or STOP Ransomware) criptografa os arquivos da vítima com Salsa20 (sistema de criptografia de fluxo) e anexa uma das centenas de extensões possíveis, incluindo a mais recente descoberta .jyos. Este apareceu no final de março de 2023 e infectou milhares de computadores em todo o mundo. STOP é um dos ransomwares mais ativos atualmente, mas eles quase não falam sobre isso. A prevalência do STOP também é confirmada pelo tópico extremamente ativo do fórum Bleeping Computer, onde as vítimas procuram ajuda. O fato é que esse malware ataca principalmente fãs de conteúdo pirata, visitantes de sites suspeitos e é distribuído como parte de pacotes de publicidade. Existe a possibilidade de descriptografia bem-sucedida, no entanto, até o momento, existem mais de duzentas variantes do STOP Ransomware conhecidas pelos pesquisadores e essa variedade complica significativamente a situação.

Jypo Ransomware é a próxima geração de STOP Ransomware família dos mesmos autores. A família ransomware é conhecida por sua ampla distribuição e atualizações frequentes com novas variantes. Como outros membros da família Djvu, o Jypo Ransomware foi projetado para criptografar os arquivos da vítima e exigir o pagamento de um resgate em troca da chave de descriptografia. A nota de resgate deixada pelo Jypo Ransomware instrui a vítima a entrar em contato com os invasores por e-mail para negociar o pagamento do resgate. Este vírus visa arquivos importantes do usuário, como documentos, fotos, bancos de dados, músicas, e-mails. Ransomware os codifica com criptografia AES e adiciona .jypo extensões aos arquivos afetados. Todas essas variações usam algoritmos semelhantes, que são inquebráveis, no entanto, em certas condições, os arquivos .jypo, criptografados pelo ransomware, podem ser descriptografados usando STOP Djvu Decryptor (fornecido abaixo). Esta versão do STOP Ransomware usa os seguintes endereços de e-mail: support@freshmail.top e datarestorehelp@airmail.cc. Jypo Ransomware cria _readme.txt arquivo de nota de resgate.

Jywd é uma infecção de ransomware originária do Djvu/STOP família. Esta família é um grupo de desenvolvedores responsáveis ​​por infectar vários usuários com diferentes criptografadores de arquivos. O Jywd é novo, surgiu no final de março de 2023, mas tem características muito parecidas com seus precursores. Jywd Ransomware, como outras variantes da família STOP/Djvu Ransomware, usa uma combinação de algoritmos de criptografia AES-256 e RSA-1024 para criptografar os arquivos da vítima. AES-256 é usado para criptografar os próprios arquivos, enquanto RSA-1024 é usado para criptografar a chave AES-256. Isso torna extremamente difícil recuperar os arquivos criptografados sem a chave de descriptografia. O vírus criptografa dados pessoais ao atribuir o .jywd extensão. Para ilustrar, um arquivo chamado 1.pdf vai experimentar uma mudança para 1.pdf.jywd e redefina seu ícone original após a criptografia bem-sucedida. Para descriptografar os dados bloqueados, as vítimas recebem instruções para seguir dentro de uma nota de resgate (_readme.txt).