Ransomware

Dazx Ransomware é uma versão do STOP/Djvu família ransomware. É um tipo de malware que criptografa os arquivos no computador da vítima e exige o pagamento de um resgate em troca da chave de descriptografia. Quando o Dazx Ransomware infecta um computador, ele criptografa os arquivos da vítima usando um algoritmo de criptografia forte, tornando-os inacessíveis para a vítima. O malware usa um algoritmo de criptografia simétrica para criptografar os arquivos da vítima. Especificamente, ele usa a cifra de fluxo Salsa20 para criptografar os dados. A chave de criptografia é gerada aleatoriamente para cada vítima e é armazenada no servidor do invasor. Os arquivos criptografados terão uma nova extensão adicionada aos seus nomes de arquivo, como .dazx. O Dazx Ransomware também cria um arquivo de nota de resgate chamado _readme.txt em cada pasta que contém arquivos criptografados. Este arquivo contém instruções sobre como pagar o resgate para receber a chave de descriptografia. A nota de resgate também adverte a vítima contra a tentativa de descriptografar os arquivos usando software de terceiros, pois isso pode resultar em perda permanente de dados.

Code é o nome de uma nova variante de ransomware que infecta organizações para executar a criptografia de dados e extorquir dinheiro em troca da chave de descriptografia. Durante a criptografia, ele anexa o .code extensão e cria uma nota de resgate (chamada !!!HOW_TO_DECRYPT!!!.txt) com instruções sobre como descriptografar os dados bloqueados. Aqui está a aparência de um arquivo infectado após a criptografia - 1.pdf.code, 2.png.code, e assim por diante com outros tipos de arquivo visados ​​pelo vírus. Na nota, os cibercriminosos tentam persuadir as vítimas a pagar o resgate pela descriptografia. Diz-se que as vítimas precisam instalar o mensageiro TOX e escrever para os extorsionários usando o TOX ID fornecido. A menos que as vítimas atendam a essas demandas e se recusem a comprar a descriptografia, os agentes de ameaças ameaçam começar a compartilhar aleatoriamente os dados criptografados com outras partes ou vazar/vendê-los na dark web e outros recursos obscuros.

Dapo Ransomware é uma variante do STOP/Djvu Ransomware, que é um tipo de malware que criptografa arquivos no computador da vítima e exige o pagamento de um resgate em troca de uma chave de descriptografia para restaurar os arquivos. Durante a criptografia, esse malware modifica as extensões de arquivo para .dapo. Após a conclusão do processo de criptografia, o ransomware lança uma nota de resgate na área de trabalho da vítima e em todas as pastas que contêm arquivos criptografados. A nota contém instruções sobre como pagar o resgate para receber a chave de descriptografia. Os invasores geralmente exigem pagamento em criptomoeda, como Bitcoin. É importante observar que não há garantia de que o pagamento do resgate resultará na descriptografia dos arquivos. Em alguns casos, as vítimas pagaram o resgate, mas nunca receberam a chave de descriptografia, enquanto em outros casos, a chave de descriptografia fornecida pelos invasores foi considerada ineficaz. O nome do arquivo da nota de resgate usado pelo Dapo Ransomware segue a mesma convenção de nomenclatura. O arquivo é nomeado _readme.txt. A nota de resgate contém instruções sobre como pagar o resgate para receber a chave de descriptografia e normalmente inclui um endereço de e-mail que a vítima pode usar para se comunicar com os invasores.

Qarj é uma nova variante de ransomware desenvolvida e publicada por um modelo de notório STOP/Djvu família. Esta variante específica foi lançada em março de 2023. Sendo um vírus de criptografia de arquivos, ele bloqueia o acesso a dados pessoais usando algoritmos de criptografia seguros. Isso significa que os arquivos armazenados em um PC não serão mais abertos pelos usuários até que sejam descriptografados. Atualmente, há pequenas chances de descriptografia de arquivos criptografados por Qarj. Apenas 1-2% dos casos são descriptografáveis, quando certas condições são atendidas. Use todas as instruções nesta página até obter alguns dados restaurados. Para mostrar que todos os arquivos foram bloqueados, os desenvolvedores anexam o novo .qarj extensão para cada um dos arquivos. Por exemplo, uma amostra de arquivo como 1.pdf mudará para 1.pdf.qarj e redefinir seu ícone eventualmente. Depois que essa parte da criptografia for concluída, o vírus cria uma nota de texto (_readme.txt) com instruções de resgate.

Qapo Ransomware é um novo programa de criptografia de arquivos desenvolvido e publicado pelos autores de STOP/Djvu família. Quase todas as versões com direito a esse grupo de extorsionários empregam medidas semelhantes para extorquir dinheiro das vítimas. Esta variante específica foi lançada em meados de março de 2023. Assim que o Qapo entra no seu PC, ele executa uma varredura rápida do seu sistema para encontrar dados confidenciais. Então, uma vez que este processo é concluído, o programa malicioso consegue criptografar seus dados. Durante isso, todos os arquivos são alterados com o .qapo extensão, que aparece no final de cada nome de arquivo. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.qapo, e da mesma forma. Depois de identificar uma mudança tão imediata, você não poderá mais acessar os dados. Para descriptografá-lo, os cibercriminosos instruem as vítimas através das etapas listadas em uma nota de texto (_readme.txt), que abre no final da criptografia. Todas as versões recentes desta família de ransomware usaram texto idêntico nas notas.

Qazx Ransomware é chamado assim, por causa de .qazx extensão, adicionada aos arquivos afetados, modificando as extensões originais de vários tipos de dados confidenciais. Esta versão apareceu em meados de março de 2023. Na verdade, tecnicamente é STOP Ransomware, que usa algoritmos de criptografia AES para criptografar os arquivos do usuário. Esse sufixo é uma das centenas de extensões diferentes usadas por esse malware. Isso significa que você perdeu seus dados valiosos? Não necessariamente. Existem certos métodos que permitem a você recuperar seus arquivos total ou parcialmente. Além disso, há um utilitário de descriptografia gratuito chamado STOP Djvu Decryptor da EmsiSoft, que é atualizado constantemente e é capaz de descriptografar centenas de tipos desse vírus. Depois de terminar sua atividade desastrosa, o Qazx Ransomware cria _readme.txt file (nota de resgate), onde informa os usuários sobre o fato da criptografia, valor do resgate e condições de pagamento.

Se você não conseguir abrir seus arquivos e eles tiverem .craa extensão adicionada no final dos nomes dos arquivos, significa que o seu PC está infectado com Craa Ransomware, a parte de STOP/Djvu Ransomware família. Este malware está atormentando suas vítimas desde 2017 e já se tornou o vírus do tipo ransomware mais difundido da história. Ele infecta milhares de computadores por dia usando vários métodos de distribuição. Ele usa uma combinação complexa de algoritmos de criptografia simétricos ou assimétricos, remove pontos de restauração do Windows, versões anteriores de arquivos do Windows, cópias de sombra e, basicamente, deixa apenas 3 possibilidades de recuperação. A primeira é pagar o resgate, no entanto, não há absolutamente nenhuma garantia de que os malfeitores enviarão a chave de descriptografia de volta. A segunda possibilidade é muito improvável, mas vale a pena tentar - usando uma ferramenta especial de descriptografia da Emsisoft, chamada STOP Djvu Decryptor. Ele funciona apenas sob várias condições, que descreveremos no próximo parágrafo. O terceiro é o uso de programas de recuperação de arquivos, que geralmente atuam como uma solução alternativa para problemas de infecção de ransomware. Vamos observar o arquivo de nota de resgate (_readme.txt), que o vírus coloca na área de trabalho e nas pastas com arquivos criptografados.

Esxi (ESXiArgs) Ransomware é uma infecção maliciosa que visa organizações explorando vulnerabilidades em VMware ESXi - uma ferramenta de máquina virtual usada para gerenciar e otimizar vários processos dentro das organizações. Os relatórios de segurança indicam que os cibercriminosos exploram vulnerabilidades conhecidas no VMware ESXi para obter acesso aos servidores e implantar o ransomware ESXiArgs no sistema visado. Feito isso, o vírus começará a procurar criptografar os arquivos localizados na máquina virtual com as seguintes extensões: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Para cada arquivo criptografado, o ransomware também criará um arquivo separado com .ESXiArgs or .args extensão com metadados dentro (provavelmente necessário para descriptografia futura).