Ransomware

OBZ é um vírus do tipo ransomware que criptografa o acesso aos dados e chantageia as vítimas para que paguem pela descriptografia. No momento da criptografia, o vírus altera os arquivos de destino com a .OBZ extensão. Por exemplo, um arquivo originalmente chamado 1.pdf vai se transformar em 1.pdf.OBZ or 1.pdf.obz dependendo de qual versão do ransomware penetrou no sistema. Além disso, as vítimas também relataram ter visto um processo malicioso chamado Traffic Light no Gerenciador de Tarefas do Windows. Assim que o processo de criptografia chega ao fim, o OBZ Ransomware cria um documento de texto (ReadMe.txt) que apresenta instruções de descriptografia. Vale a pena notar que o conteúdo desta nota de resgate é idêntico a outros descobertos anteriormente U2K e MME ransomware, o que pode indicar que o OBZ foi desenvolvido pelo mesmo grupo de desenvolvedores.

CryWiper é um vírus devastador que danifica a configuração dos dados para torná-los inacessíveis e exige dinheiro das vítimas para uma descriptografia falsa. Os desenvolvedores do CryWiper disfarçam seu software como ransomware que criptografa dados; no entanto, é na verdade um limpador de dados que simplesmente corrompe os arquivos. Ao executar a "criptografia", o vírus exclui todas as cópias de sombra da unidade raiz e acrescenta a nova .CRY extensão para destacar os arquivos. Por exemplo, um arquivo originalmente chamado 1.pdf vai se transformar em 1.pdf.CRY e ficar permanentemente danificado. Depois disso, o CryWiper cria um arquivo chamado README.txt com instruções de descriptografia enganosas. Sabe-se que o CryWiper evita danificar arquivos .exe, .dll, .lnk, .msi e .sys e outros armazenados nos diretórios Boot, System e Windows. Além disso, este vírus também foi observado sendo distribuído através do browserupdate.exe arquivo malicioso, programado em linguagem C++ e direcionado a organizações localizadas na Rússia.

Beijing é uma infecção classificada como ransomware que criptografa o acesso aos dados e exige que as vítimas paguem por sua descriptografia. Esse criptografador de arquivos provavelmente também foi lançado pelos mesmos cibercriminosos que desenvolveram anteriormente outro ransomware chamado LeakTheMall. Durante a criptografia, as vítimas verão seus arquivos mudarem visualmente - é o novo .beijing que eventualmente serão adicionados a eles. Por exemplo, um nome originalmente 1.pdf mudará para 1.pdf.beijing e tornar-se inacessível. Depois disso, o vírus cria instruções de texto em !RECOVER.txt explicando o que deve ser feito para recuperar os dados.

Trigona é o nome de um vírus ransomware que criptografa dados de usuários corporativos (por exemplo, empresas) e exige dinheiro para descriptografar arquivos. Durante a criptografia, ele anexa o novo ._locked extensão (por exemplo, 1.pdf._locked) e cria um arquivo chamado how_to_decrypt.hta após a conclusão bem-sucedida. Este arquivo contém instruções com etapas sobre o que as vítimas devem fazer para descriptografar seus dados. Diz-se que todas as informações críticas, como documentos, bancos de dados, backups locais e assim por diante, foram criptografadas e vazadas. Os cibercriminosos também mencionam que a descriptografia de arquivos é impossível sem o envolvimento direto deles. Além disso, é mencionado que os dados daqueles que se recusam a colaborar com cibercriminosos serão vendidos a pessoas potencialmente interessadas em seu abuso. Para evitar tudo isso, os agentes de ameaças orientam as vítimas a abrir uma página de descriptografia por meio do navegador TOR e entrar em contato com os desenvolvedores do ransomware.

Bazek é uma infecção por vírus que apresenta todas as características inerentes ao ransomware. Simplificando, ele criptografa o acesso aos dados (usando algoritmos AES-256) e pede às vítimas que entrem em contato com os cibercriminosos para obter uma chave de descriptografia especial. Durante a criptografia, o vírus também atribui o novo .bazek extensão para cada arquivo de destino. Para ilustrar, um arquivo chamado 1.pdf mudará para 1.pdf.bazek e perder seu ícone original também. Dependendo de qual versão do Bazek Ransomware atacou o computador, ele criará uma nota de texto chamada README.txt ou exibir uma janela pop-up com instruções de descriptografia semelhantes.

Também conhecido como Sullivan, RansomBoggs é uma infecção de ransomware projetada para criptografar dados e exigir pagamento pela descriptografia posteriormente. Pesquisas recentes mostraram que esse vírus teve inúmeros ataques a várias organizações localizadas na Ucrânia. Durante a criptografia, o RansomBoggs renomeia todos os arquivos de destino com a .chsch extensão. Por exemplo, um arquivo originalmente intitulado como 1.pdf mudará para 1.pdf.chsch e tornar-se inacessível. Depois disso, o ransomware também cria sua própria nota (SullivanDecryptsYourFiles.txt) com instruções de descriptografia.

SEX3 é um vírus de computador classificado como ransomware. Além disso, descobriu-se que era uma nova versão de outro criptografador de arquivos chamado SATANA Ransomware. O software desse tipo é desenvolvido para criptografar dados potencialmente valiosos e exigir que os proprietários dos arquivos paguem por sua descriptografia. Ao executar a criptografia, o SEX3 Ransomware é programado para alterar os arquivos de destino com o .SEX3 extensão. Esta é simplesmente uma mudança visual para destacar os dados bloqueados sobre a criptografia bem-sucedida. Depois disso, o vírus altera os papéis de parede da área de trabalho e também cria uma nota de texto chamada !satana!.txt que contém instruções curtas sobre como desbloquear o acesso aos arquivos.

Onelock é uma infecção de ransomware desenvolvida pela família de ransomware Medusa. Seu objetivo é criptografar o acesso a dados potencialmente importantes (usando algoritmos de criptografia RSA e AES) e extorquir dinheiro das vítimas para descriptografia completa. Ao tornar os arquivos inacessíveis, o vírus adiciona o novo .onelock extensão, o que faria um arquivo como 1.pdf mudar para 1.pdf.onelock e redefina seu ícone original. O mesmo padrão se aplica a outros arquivos que são alvo da infecção. Após a conclusão bem-sucedida, o Onelock cria o how_to_back_files.html arquivo para apresentar instruções de descriptografia. No geral, diz-se que os desenvolvedores de ransomware são os únicos capazes de descriptografar os dados das vítimas. Para isso, as vítimas são instruídas a entrar em contato com os cibercriminosos usando um link de bate-papo no navegador Tor (ou e-mail) e pagar uma quantia específica de resgate.