Ransomware

Alice Ransomware é um programa malicioso projetado para criptografar os dados pessoais dos usuários e exigir dinheiro para sua descriptografia. Ao criptografar o acesso aos arquivos com a ajuda de algoritmos seguros, o criptografador de arquivos também atribui o .alice extensão para dados criptografados. Por exemplo, um arquivo como 1.pdf provavelmente mudará para 1.pdf.alice e redefina seu ícone original. Muitas infecções de ransomware atribuem sua extensão personalizada para distinguir arquivos criptografados e fazer com que os usuários percebam a mudança. As instruções sobre como devolver os arquivos são apresentadas dentro do How To Restore Your Files.txt arquivo de texto, que é criado após a criptografia bem-sucedida. Esta nota de texto apresenta diretrizes escritas em russo, o que indica que esse criptografador visa principalmente usuários que falam russo. Vale a pena notar que Alice foi vista distribuída em duas variantes com texto de nota de resgate ligeiramente variável.

STOP Ransomware é uma praga de 2017-2023, vírus tenaz baseado em tecnologia de criptografia, Qotr Ransomware é uma versão recente dele. Ransomware usa o algoritmo de criptografia AES para codificar arquivos importantes e extorque um resgate em Bitcoins para descriptografia. Este malware visa principalmente os países ocidentais, mas houve milhares de infecções detectadas em outras partes do mundo. Qotr Ransomware usa os mesmos padrões, mas adiciona extensões diferentes para modificar os arquivos. A versão que observamos hoje anexa .qotr extensão. O cripto-vírus afeta os dados valiosos do usuário: fotos, vídeos e documentos, toma como reféns arquivos potencialmente críticos. Ao mesmo tempo, mantém os arquivos de sistema do Windows intactos. Todas as versões recentes usaram um arquivo de nota de resgate chamado _readme.txt, e essa variação não é exceção. Todas as amostras pertencem aos mesmos autores, pois usam os mesmos dados de contato: support@freshmail.top e datarestorehelp@airmail.cc.

Qoqa Ransomware (que faz parte de uma grande família de STOP/Djvu Ransomware) é um vírus detestável, que criptografa arquivos em computadores usando o algoritmo de criptografia AES, torna-os indisponíveis e exige dinheiro em troca do chamado "descriptografador". Os arquivos processados ​​pela versão mais recente do STOP Ransomware, em particular, podem ser diferenciados por .qoqa extensões. A análise mostrou que o instalador criptográfico carregado com o "crack" ou adware é instalado com um nome arbitrário no %LocalAppData%\ pasta. Quando executado, ele carrega quatro arquivos executáveis ​​lá: 1.exe, 2.exe, 3.exe e updatewin.exe. O primeiro deles é responsável por neutralizar o Windows Defender, o segundo é por bloquear o acesso a sites de segurança da informação. Depois que o malware é lançado, uma mensagem falsa aparece na tela que diz sobre a instalação da atualização do Windows. Na verdade, neste momento, quase todos os arquivos do usuário no computador estão criptografados. Em cada pasta contendo documentos criptografados, um arquivo de texto (_readme.txt) aparece, no qual os atacantes explicam o funcionamento do vírus. Eles se oferecem para pagar um resgate pela descriptografia, instando-os a não usar programas de terceiros, pois isso pode levar à exclusão de todos os documentos.

Roghe é um vírus ransomware direcionado aos dados pessoais das vítimas. Depois que o malware infecta um sistema de destino, ele inicia a criptografia de arquivos potencialmente importantes, tornando-os inacessíveis até que uma chave de descriptografia seja recuperada. Durante o processo de criptografia, Roghe Ransomware atribui o .enc extensão para arquivos infectados. Por exemplo, um arquivo como 1.pdf vai virar para 1.pdf.enc e assim por diante com outros arquivos afetados. Depois que todos os arquivos são criptografados, o vírus altera os papéis de parede da área de trabalho e força a abertura de uma janela pop-up com diretrizes de descriptografia. O texto apresentado nos papéis de parede recém-atribuídos permite que os usuários saibam que foram infectados e os incentiva a seguir as instruções da janela pop-up aberta. Além disso, também possui um código QR que leva a mais informações sobre o malware. A janela "Roghe Decryptor" diz que as vítimas têm 15 minutos para recuperar a chave e colá-la para desbloquear o acesso aos arquivos - caso contrário, os arquivos criptografados serão excluídos para sempre. Ele também diz que dentro de 20 minutos o sistema operacional ficará inacessível, basicamente ficando bloqueado.

Nova onda de STOP Ransomware a infecção continua com Qowd Ransomware, que anexa .qowd extensões. O STOP Ransomware foi detectado pela primeira vez em 2018 e, desde então, evoluiu para um dos tipos mais comuns de ransomware. Essas extensões ".qowd" são adicionadas aos arquivos criptografados no final de fevereiro de 2023. Este vírus complicado usa o algoritmo de criptografia AES para codificar as informações importantes dos usuários. Como regra, o Qowd Ransomware ataca fotos, vídeos e documentos - dados que as pessoas valorizam. Os desenvolvedores de malware extorquem resgate e prometem fornecer uma chave de descriptografia em troca. A descriptografia completa de dados perdidos é possível em uma minoria de casos, se uma chave de criptografia offline foi usada, caso contrário, use as instruções na página para recuperar arquivos criptografados. O ransomware também cria uma nota de resgate (_readme.txt) que informa a vítima sobre o ataque e exige pagamento em Bitcoin ou outras criptomoedas em troca da chave de descriptografia.

Iotr Ransomware (as vezes chamado STOP Ransomware or DjVu Ransomware) é um vírus de criptografia amplamente difundido, que apareceu pela primeira vez em dezembro de 2017. Desde então, muitas alterações técnicas e de design ocorreram e algumas gerações de malware foram alteradas. O Ransomware usa o algoritmo de criptografia AES-256 (modo CFB) para codificar os arquivos do usuário e, após esta última versão (apareceu no final de fevereiro de 2023), acrescenta .iotr extensões. Após a criptografia, o vírus cria um arquivo de texto _readme.txt, que é chamado de "nota de resgate", onde os hackers divulgam o valor do resgate, informações de contato e instruções para pagá-lo. STOP Ransomware com extensões de arquivo .iotr use os seguintes e-mails: support@freshmail.top e datarestorehelp@airmail.cc, assim como dezenas de seus antecessores.

Kangaroo é uma infecção de ransomware lançada por desenvolvedores por trás de criptografadores de arquivos anteriores, como Apocalypse, Fabiansomware e Esmeralda. Embora esse criptografador de arquivos estivesse circulando ativamente em 2021, alguns usuários ainda podem ser penetrados por ele hoje em dia. O objetivo do malware dentro desta categoria é criptografar dados potencialmente importantes e extorquir dinheiro para descriptografar as vítimas. O recurso que destaca o Kangaroo entre outras infecções comuns de ransomware é que ele configura os valores do registro para exibir uma mensagem de resgate antes de entrar na tela de login do Windows. Imediatamente após o login no sistema, ele também exibe uma tela falsa com a mesma mensagem de resgate, mas desta vez com um campo dedicado para inserir uma senha para desbloqueá-lo. Durante a criptografia, o Kangaroo também atribui o .crypted_file extensão e cria mensagens de resgate idênticas na forma de notas de texto. Essas notas de texto são criadas adicionalmente para cada arquivo criptografado e são nomeadas com base no nome do arquivo pós-criptografia (como aqui 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (aka STOP Ransomware or Djvu Ransomware) é um vírus extremamente perigoso que criptografa arquivos usando o algoritmo de criptografia AES-256 e adiciona .ioqa extensions to affected files. The infection mostly involves important and valuable files, like photos, documents, databases, e-mails, videos, etc. Ioqa Ransomware does not touch system files to allow Windows to operate, so users will be able to pay the ransom. If the malware server is unavailable (computer is not connected to the Internet, remote hackers' server does not work), then the encryption tool uses the key and identifier that is hard-coded in it and performs offline encryption. In this case, it will be possible to decrypt the files without paying the ransom. Ioqa Ransomware creates _readme.txt arquivo, que contém a mensagem de resgate e detalhes de contato, na área de trabalho e nas pastas com arquivos criptografados. Os desenvolvedores podem ser contatados por e-mail: support@freshmail.top e datarestorehelp@airmail.cc.