Ransomware

Ser parte da Djvu e STOP família de vírus, Zouu Ransomware é um vírus de criptografia de arquivos que circula pela web desde meados de janeiro de 2023. Na verdade, os desenvolvedores distribuem uma infinidade de versões que variam entre si por extensões, e-mail dos cibercriminosos e outros detalhes. Existem mais de 600 extensões que o STOP Ransomware usou para atacar os dados do usuário. No nosso caso, STOP Ransomware anexa .zouu extensão para arquivos para que sejam criptografados. Por exemplo, algo como 1.mp4 será renomeado para 1.mp4.zouu e redefinir seu ícone padrão após a infecção. Sequencialmente, o programa cria uma nota chamada _readme.txt que contém informações de resgate. Normalmente, o conteúdo gerado é muito semelhante em todos os tipos de ransomware.

Zoqw Ransomware, sendo parte de STOP Ransomware é um vírus crítico, colocando em risco os arquivos pessoais do usuário. Pertence à família de malware para criptografar arquivos, que usa o algoritmo AES (Salsa20) e a chave inquebrável. Este vírus é, às vezes, chamado Djvu Ransomware, após a palavra usada como extensão nas primeiras versões (.djvu). A variante da ameaça, que descrevemos hoje, modifica arquivos com .zoqw A extensão apareceu na primeira quinzena de janeiro de 2023 e funciona exatamente da mesma forma em comparação com dezenas de versões anteriores. Os arquivos são criptografados com uma chave segura e há poucas chances de descriptografá-los completamente, especialmente se uma chave online foi usada. No entanto, certos métodos manuais e ferramentas automáticas, descritos neste artigo, podem ajudá-lo a descriptografar alguns dados com sucesso. Na caixa de texto abaixo, você pode encontrar a "nota de resgate" - um pequeno arquivo de texto com uma breve introdução ao vírus e instruções para pagar o resgate.

Uma das principais ameaças à segurança do computador atualmente é o ransomware. Esses são vírus de computador devastadores, que criptografam os arquivos dos usuários usando vários algoritmos criptográficos e extorquem dinheiro de resgate pela chave de descriptografia. É especialmente sensível para os usuários, pois ataca arquivos pessoais, como vídeos, fotos, músicas ou dados comerciais, como formatos de arquivo do MS Office, e-mails e bancos de dados. Esses arquivos podem ser cruciais para a operação comercial ou extremamente importantes pessoalmente como parte da memória familiar. Os malfeitores podem exigir de várias centenas a vários milhares de dólares como resgate. STOP Ransomware é oficialmente a ameaça de ransomware mais difundida e, portanto, mais perigosa. Houve mais de 650 versões desse vírus em 5 anos. Cada variação infecta milhares de computadores e há milhões de vítimas desse malware desagradável. Neste artigo, explicaremos os métodos típicos para combater o Bpto Ransomware e descriptografar os arquivos afetados. No foco de hoje, versões de STOP (Djvu), que agregam .bpto extensões. Amostras recentes usam um padrão muito semelhante para se infiltrar em PCs e criptografar arquivos. Após a criptografia, o ransomware cria um arquivo (nota de resgate), chamado _readme.txt.

Theva é o nome de um vírus ransomware que criptografa dados armazenados no sistema e exige que as vítimas paguem em Bitcoin por sua descriptografia. Durante a criptografia, os arquivos de destino acabam alterados visualmente - por exemplo, 1.pdf mudará para 1.pdf.[sql772@aol.com].theva e assim por diante com outros arquivos. Após o bloqueio bem-sucedido dos dados, o Theva Ransomware representa suas instruções de descriptografia em um documento de texto chamado #_README_#.inf. Ele também altera os papéis de parede da área de trabalho das vítimas. Para recuperar os dados, as vítimas devem entrar em contato com os cibercriminosos por meio do endereço de e-mail fornecido (sql772@aol.com) e pagar o resgate em criptomoeda Bitcoin. Diz-se que o preço da desencriptação depende da rapidez com que as vítimas estabelecem contacto com os vigaristas. Após o pagamento bem-sucedido, os agentes de ameaças prometem enviar a ferramenta de descriptografia necessária que desbloqueará todos os dados bloqueados.

Eternity é um vírus ransomware que foi descoberto por Cyble pesquisadores. Este software malicioso pertence à família de malware Eternity e foi projetado para extorquir dinheiro das vítimas criptografando dados potencialmente valiosos (com algoritmos criptográficos AES e RSA seguros). Dasha é outra variante popular de ransomware desta família. Existem duas versões conhecidas do Eternity - uma não altera os arquivos visualmente e a outra atribui o .ecrp extensão para nomes de arquivos e altera ícones originais. Por exemplo, 1.pdf pode permanecer o mesmo ou tornar-se 1.pdf.ecrp após a criptografia, dependendo de qual versão do ransomware atacou o sistema. Depois de concluir a criptografia com sucesso, o Eternity exibe uma janela pop-up contendo instruções de descriptografia. Como o Eternity Ransomware é um vírus Malware-as-a-service (MaaS) público, que muitos agentes de ameaças podem comprar, o conteúdo das instruções (detalhes de contato, tamanho do resgate, contagens regressivas etc.) também pode variar um pouco. Abaixo estão exemplos de textos de resgate de duas variantes de ransomware.

Black Hunt é uma infecção maliciosa classificada como ransomware. Após a infiltração, ele começa a criptografar os dados e chantageia as vítimas para que paguem pela descriptografia (em #BlackHunt_ReadMe.hta e #BlackHunt_ReadMe.txt notas de resgate). Ao executar a criptografia, o vírus também atribui o ID da vítima, o endereço de e-mail do cibercriminoso e .black extensão para arquivos influenciados. Para ilustrar, um arquivo originalmente chamado 1.pdf vai mudar para algo como 1.pdf.[nnUWuTLm3Y45N021].[sentafe@rape.lol] e adquira também o novo ícone Black Hunt. Os papéis de parede da área de trabalho também são alterados. Dentro das notas de resgate, os cibercriminosos afirmam que as vítimas têm 14 dias para contatá-los por e-mail e comprar uma chave exclusiva para descriptografia. A menos que o prazo seja cumprido, os agentes de ameaças dizem que começarão a vender ou vazar os dados coletados para vários terceiros. As vítimas podem revisar sua "situação de dados" por meio do link TOR fornecido.

ScareCrow é uma infecção de ransomware que apareceu pela primeira vez nos radares de malware em 2019. Desde então, o ransomware passou por algumas alterações e atualizações insignificantes. Por exemplo, dependendo de quais versões do ScareCrow atacaram o sistema, .scrcrw or .CROW extensões serão atribuídas aos arquivos de destino. As infecções por ransomware são projetadas para criptografar dados potencialmente valiosos e mantê-los bloqueados até que as vítimas atendam às exigências dos cibercriminosos de pagar um resgate. O ScareCrow usa uma combinação de algoritmos criptográficos AES e RSA para criptografar completamente os dados. Depois de tornar os arquivos inacessíveis com sucesso, o vírus abre automaticamente uma janela pop-up com instruções de descriptografia. Observe que pagar o resgate pode não ser obrigatório - as vítimas são aconselhadas a entrar em contato com um pesquisador respeitável de ransomware Michael Gillespie e descriptografar arquivos ScareCrow gratuitamente.

Lucknite (ETH) or LuckniteRansom é um vírus ransomware que foi recentemente inspecionado por pesquisadores de malware. O objetivo desse tipo de malware é criptografar dados potencialmente importantes e mantê-los como reféns até que as vítimas paguem pelo resgate. Durante a criptografia, este ransomware também atribui o .lucknite extensão para cada arquivo de destino. Por exemplo, originalmente chamado 1.pdf mudará para 1.pdf.lucknite e perder seu ícone de atalho após a criptografia. Depois disso, os cibercriminosos apresentam instruções de descriptografia no README.txt nota. Às vezes, o conteúdo do resgate pode variar um pouco, dependendo de qual versão do ransomware afetou o sistema.