Ransomware

Rs-jon é uma infecção por ransomware que criptografa dados armazenados no sistema e exige que as vítimas paguem 50$ por sua descriptografia. Ao restringir o acesso aos arquivos, ele atribui o .rsjon extensão. Por exemplo, um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.rsjon e redefina seu ícone original. Após a criptografia bem-sucedida do arquivo, o vírus altera os papéis de parede da área de trabalho e instrui as vítimas a seguir as instruções dentro do READ_ME_PLZ.txt nota.

Lumino_Ransom é uma infecção de ransomware projetada para criptografar o acesso aos dados. Durante a criptografia, ele anexa o .lumino_locked extensão para todos os dados bloqueados. Por exemplo, um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.lumino_locked e deixar de ser acessível. Além disso, a variante pesquisada do Lumino_Ransom Ransomware também criou quatrocentos arquivos completamente vazios na área de trabalho (nomeados de Lumine1 para Lumine400 em ordem sequencial). Imediatamente após a criptografia bem-sucedida, o ransomware exibiu uma nota sem título com instruções que aparecem gradualmente (em inglês e francês).

Baseado em outro ransomware chamado Jigsaw, Roblox Ransomware é um programa malicioso que funciona como um criptografador de arquivos. Em outras palavras, ele executa a criptografia de dados armazenados no sistema e incentiva as vítimas a realizar algumas ações. Observe que esse vírus não tem nada a ver com o videogame online oficial Roblox, apesar de ter referências a ele. Enquanto a criptografia está em andamento, o criptografador de arquivos atribui o .Encrypted_Roblox@mail.com extensão, o que torna os arquivos não mais acessíveis. Outra variante de ransomware também foi vista anexando o .fun_VB extensão em vez disso. Por exemplo, um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.Encrypted_Roblox@mail.com or 1.pdf.fun_VB e redefina seu ícone original. Depois de restringir com sucesso o acesso aos dados, o Roblox Ransomware exibe uma janela pop-up executável (Jigsaw.exe) com instruções de descriptografia.

CMLOCKER é uma infecção por ransomware que criptografa dados armazenados no sistema com algoritmos criptográficos RSA e anexa o novo .CMLOCKER extensão. Por exemplo, um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.CMLOCKER e redefina seu ícone original. Depois que todos os arquivos acabam com acesso restrito, o vírus cria uma nota de texto chamada HELP_DECRYPT_YOUR_FILES.txt chantagear as vítimas para que paguem pela descriptografia de dados.

HARDBIT é um vírus ransomware que tem como alvo os usuários do Windows para criptografar dados armazenados no sistema e chantagear as vítimas para que paguem uma taxa pela descriptografia e não divulgação de dados exfiltrados. Ao tornar os arquivos inacessíveis, o criptografador de arquivos atribui algumas alterações visuais para destacar os dados bloqueados. Por exemplo, um arquivo originalmente chamado 1.pdf vai mudar para algo como 1.pdf.[id-GSD557NO60].[boos@keemail.me].hardbit no final da criptografia. Essa sequência de símbolos recém-atribuída consiste no ID da vítima, endereço de e-mail dos cibercriminosos e .hardbit extensão. Imediatamente após o fim do processo de criptografia, o HARDBIT altera os papéis de parede da área de trabalho e descarta dois arquivos explicando as instruções de descriptografia - Help_me_for_Decrypt.hta e How To Restore Your Files.txt.

Ransomware do FBI é um criptografador de arquivos que restringe o acesso a dados e chantageia as vítimas para que paguem US$ 250 pela recuperação. Ao executar a criptografia, o vírus renomeia todos os arquivos afetados adicionando o .fbi extensão. Por exemplo, um arquivo como 1.pdf será renomeado para 1.pdf.fbi e redefina seu ícone original como resultado dessa alteração. Depois disso, o programa malicioso cria três notas totalmente vazias (readme.txt, BLOQUEADO PORFBI.hta e descriptografar arquivos.html), que não contêm nenhuma informação. A mensagem real é exibida na janela de tela cheia intratável, que é aberta automaticamente após a conclusão da criptografia.

JiangLocker é uma infecção recente por ransomware. Assim como outros malwares desse tipo, ele foi projetado para restringir o acesso a dados potencialmente importantes executando criptografia segura. Durante este processo, o vírus atribui todos os dados bloqueados com o .jiang extensão. Para ilustrar, um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.jiang e redefina seu ícone original. Depois disso, o JiangLocker altera os papéis de parede da área de trabalho, exibe uma janela pop-up e cria uma nota de texto chamada read.ini. A nota de texto duplica as informações fornecidas dentro da janela pop-up.

Cyberone é uma infecção de ransomware bastante recente que executa criptografia de dados e pede às vítimas que paguem 1 Bitcoin por sua descriptografia. Ao bloquear o acesso aos dados armazenados no sistema, o vírus atribui seu próprio .cyberone extensão, deixando todos os ícones de arquivo em branco. Por exemplo, um arquivo originalmente chamado 1.pdf mudará para 1.pdf.cyberone e deixar de ser acessível. Observe que a maioria das versões do Cyberone que observamos pode ser descriptografado gratuitamente com a ajuda de uma ferramenta de descriptografia lançada pela Avast. Você pode encontrar mais informações sobre isso no artigo abaixo. Depois de completar a criptografia, a última peça do último para começar a chantagear as vítimas é a criação de ___RECOVER__FILES__.cyberone.txt e a exibição de uma janela pop-up contendo diretrizes de descriptografia escritas por cibercriminosos.