Ransomware

SEX3 é um vírus de computador classificado como ransomware. Além disso, descobriu-se que era uma nova versão de outro criptografador de arquivos chamado SATANA Ransomware. O software desse tipo é desenvolvido para criptografar dados potencialmente valiosos e exigir que os proprietários dos arquivos paguem por sua descriptografia. Ao executar a criptografia, o SEX3 Ransomware é programado para alterar os arquivos de destino com o .SEX3 extensão. Esta é simplesmente uma mudança visual para destacar os dados bloqueados sobre a criptografia bem-sucedida. Depois disso, o vírus altera os papéis de parede da área de trabalho e também cria uma nota de texto chamada !satana!.txt que contém instruções curtas sobre como desbloquear o acesso aos arquivos.

Onelock é uma infecção de ransomware desenvolvida pela família de ransomware Medusa. Seu objetivo é criptografar o acesso a dados potencialmente importantes (usando algoritmos de criptografia RSA e AES) e extorquir dinheiro das vítimas para descriptografia completa. Ao tornar os arquivos inacessíveis, o vírus adiciona o novo .onelock extensão, o que faria um arquivo como 1.pdf mudar para 1.pdf.onelock e redefina seu ícone original. O mesmo padrão se aplica a outros arquivos que são alvo da infecção. Após a conclusão bem-sucedida, o Onelock cria o how_to_back_files.html arquivo para apresentar instruções de descriptografia. No geral, diz-se que os desenvolvedores de ransomware são os únicos capazes de descriptografar os dados das vítimas. Para isso, as vítimas são instruídas a entrar em contato com os cibercriminosos usando um link de bate-papo no navegador Tor (ou e-mail) e pagar uma quantia específica de resgate.

Alpha865qqz é um novo criptografador de arquivos que pertence à família Maoloa ransomware. Durante uma investigação sobre esse malware, foi descoberto que o Alpha865qqz imita algumas características de outra infecção chamada GlobeImposter. Por exemplo, durante a criptografia, ele anexa o .Globeimposter-Alpha865qqz extensão para arquivos de destino. Ilustrar, 1.pdf mudará para 1.pdf.Globeimposter-Alpha865qqz, 1.png para 1.png.Globeimposter-Alpha865qqz, e assim por diante. Depois de concluir o processo de criptografia, o Alpha865qqz cria um arquivo executável chamado HOW TO BACK YOUR FILES.exe que lista as instruções de descriptografia. Algumas outras versões do Alpha865qqz criaram o HOW TO BACK YOUR FILES.txt arquivo de texto em vez disso, e também alterou os ícones originais dos arquivos.

Faust é uma nova variante de ransomware desenvolvida pelo grupo de malware Phobos. Seu objetivo é criptografar dados potencialmente importantes e fazer com que as vítimas paguem por sua descriptografia. Juntamente com a criptografia, o vírus também altera a aparência dos arquivos - por exemplo, um arquivo originalmente chamado 1.pdf vai mudar para algo como 1.pdf.id[9ECFA84E-3421].[gardex_recofast@zohomail.eu].faust e redefina seu ícone original após a criptografia. Essa nova sequência de caracteres que o ransomware anexa consiste em um ID exclusivo da vítima, endereço de e-mail dos cibercriminosos e o .faust extensão. Após a conclusão bem-sucedida da criptografia, Faust Ransomware gera uma janela pop-up (info.hta) e arquivo de texto (info.txt) que contêm diretrizes de descriptografia.

AXLocker é um vírus ransomware que criptografa dados pessoais (documentos, fotos, bancos de dados, etc.) e exige que as vítimas paguem por sua descriptografia. Ao contrário de outras infecções de ransomware que normalmente renomeiam os dados criptografados (adicionando novas extensões), o AXLocker deixa os arquivos com a aparência original. Apesar disso, as vítimas não poderão acessar seus dados e o vírus exibirá uma janela pop-up com demandas relacionadas à descriptografia e tempo alocado para atendê-las.

Dharma é um grupo de malware notório que distribui uma série de infecções de ransomware de ponta. Zxcvb é uma das versões mais recentes lançadas por cibercriminosos. Assim como seus precursores, o vírus criptografa o acesso a arquivos armazenados no sistema e altera sua aparência visual (adicionando o ID da vítima, o endereço de e-mail paymoney@onionmail.org e o .zxcvb extensão). Por exemplo, um arquivo originalmente chamado 1.pdf vai mudar para algo como 1.pdf.id-9ECFA84E.[paymoney@onionmail.org].zxcvb e assim por diante com outros dados afetados. Depois que o Zxcvb priva o acesso aos arquivos, ele cria uma nota exigindo resgate chamada FILES ENCRYPTED.txt e também exibe uma janela pop-up.

D0ggerofficial é um vírus ransomware que executa a criptografia de dados usando algoritmos AES-256. Ao fazer isso, ele também renomeia todos os arquivos de destino (documentos, vídeos, imagens etc.) .locked extensão. Por exemplo, um arquivo originalmente chamado 1.pdf mudará para 1.pdf.locked e redefina seu ícone original. Depois disso, D0ggerofficial exibe uma janela pop-up com instruções de descriptografia. Os cibercriminosos dizem que as vítimas precisam fazer um pagamento de 0.25 BTC (cerca de 4,200) para recuperar uma chave de descriptografia especial do servidor remoto dos cibercriminosos. As vítimas também podem obter informações mais detalhadas entrando em contato com os invasores por meio do canal do Telegram (@d0ggerofficial).

Eyedocx é uma infecção de ransomware que criptografa o acesso aos dados armazenados no sistema e apresenta instruções para fazer as vítimas pagarem pela descriptografia. Assim que o processo de criptografia for iniciado, todos os arquivos serão alterados de acordo com este exemplo - originalmente chamado 1.pdf mudará para 1.pdf.encrypted e redefinir seu ícone. A atribuição de extensões aleatórias é um efeito comum de muitas infecções de ransomware, projetadas para destacar os dados bloqueados. o .encrypted extension é bastante genérico e, portanto, também pode ser usado por outras variantes de ransomware. Depois que o Eyedocx termina de executar a criptografia, ele cria uma nota de texto (readme.info) com instruções exigentes de resgate.