Ransomware

JiangLocker é uma infecção recente por ransomware. Assim como outros malwares desse tipo, ele foi projetado para restringir o acesso a dados potencialmente importantes executando criptografia segura. Durante este processo, o vírus atribui todos os dados bloqueados com o .jiang extensão. Para ilustrar, um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.jiang e redefina seu ícone original. Depois disso, o JiangLocker altera os papéis de parede da área de trabalho, exibe uma janela pop-up e cria uma nota de texto chamada read.ini. A nota de texto duplica as informações fornecidas dentro da janela pop-up.

Cyberone é uma infecção de ransomware bastante recente que executa criptografia de dados e pede às vítimas que paguem 1 Bitcoin por sua descriptografia. Ao bloquear o acesso aos dados armazenados no sistema, o vírus atribui seu próprio .cyberone extensão, deixando todos os ícones de arquivo em branco. Por exemplo, um arquivo originalmente chamado 1.pdf mudará para 1.pdf.cyberone e deixar de ser acessível. Observe que a maioria das versões do Cyberone que observamos pode ser descriptografado gratuitamente com a ajuda de uma ferramenta de descriptografia lançada pela Avast. Você pode encontrar mais informações sobre isso no artigo abaixo. Depois de completar a criptografia, a última peça do último para começar a chantagear as vítimas é a criação de ___RECOVER__FILES__.cyberone.txt e a exibição de uma janela pop-up contendo diretrizes de descriptografia escritas por cibercriminosos.

Diamond Ransomware é uma infecção maliciosa projetada para criptografar dados armazenados no sistema e chantagear as vítimas para que paguem o resgate pelo seu retorno. Ao executar a criptografia, o vírus renomeia todos os arquivos de destino com o .diamond extensão. Esta é simplesmente uma mudança visual destinada a destacar o fato de que o sistema dos usuários foi infectado. Depois disso, os desenvolvedores de ransomware criam HOW TO RECOVER ENCRYPTED FILES.TXT - um arquivo de texto contendo instruções de descriptografia.

Wizard é um vírus ransomware que criptografa dados com a ajuda de algoritmos AES-256 para chantagear os usuários para que paguem o resgate. Ao restringir o acesso aos dados, todos os arquivos afetados são renomeados com o .wizard extensão. Por exemplo, um arquivo anteriormente intitulado 1.pdf mudará para 1.pdf.wizard e redefina seu ícone original. Em seguida, observou-se que o vírus cria um texto chamado decrypt_instructions.txt na área de trabalho. Esta nota contém informações sobre o que as vítimas devem fazer para retornar seus arquivos criptografados.

DataBankasi é o nome de um programa de ransomware projetado para extorquir dinheiro das vítimas da criptografia de dados. Depois que a criptografia ocorre, todos os arquivos afetados são alterados com o .databankasi extensão tornando-se não mais acessível. Para ilustrar com um exemplo - um arquivo anteriormente chamado 1.pdf mudará para 1.pdf.databankasi e perder seu ícone original também. Após o bloqueio bem-sucedido de dados, o vírus cria um arquivo de texto contendo diretrizes de descriptografia (---BILGILENDIRME----NOTU---.txt). O texto das instruções de descriptografia é apresentado no idioma turco.

TeamDarkAnon é uma infecção por ransomware que criptografa dados armazenados no sistema e extorque dinheiro das vítimas para sua descriptografia. Depois de penetrar com sucesso no sistema, o TeamDarkAnon renomeia todos os arquivos criptografados com o .anon extensão. Por exemplo, um arquivo de trabalho anteriormente chamado 1.pdf mudará para 1.pdf.anon e redefina seu ícone original. Após a conclusão da criptografia dos dados, o vírus altera os papéis de parede da área de trabalho e cria um arquivo de texto chamado HOW TO RECOVER ENCRYPTED FILES.TXT para ilustrar as diretrizes de descriptografia.

Cyber_Puffin é quase idêntico a outra infecção de ransomware chamada Exploit6. Assim, é muito provável que essas duas infecções sejam promovidas pelo mesmo grupo de desenvolvedores. Da mesma forma, o Cyber_Puffin criptografa arquivos pessoais e chantageia as vítimas para que paguem pela devolução. Ao restringir o acesso aos dados, o vírus atribui o .Cyber_Puffin extensão para todos os arquivos afetados. Por exemplo, um arquivo anteriormente chamado 1.pdf vai experimentar uma mudança para 1.pdf.Cyber_Puffin e deixar de ser acessível. Assim como Exploit6 Ransomware, a variante Cyber_Puffin cria um arquivo de texto que exibe as diretrizes de descriptografia após a conclusão bem-sucedida da criptografia. Além disso, os papéis de parede da área de trabalho também são substituídos.

Exploit6 é uma infecção por ransomware que criptografa arquivos pessoais e chantageia as vítimas para que paguem dinheiro pelo seu retorno. Durante o processo de criptografia, o criptografador de arquivos altera a aparência do arquivo adicionando o .exploit6 extensão. Para ilustrar, um arquivo anteriormente intitulado 1.pdf vai se transformar em 1.pdf.exploit6 e deixar de ser acessível. Assim como em outros malwares desse tipo, os desenvolvedores criam um arquivo de texto (READMI.txt) para explicar as instruções de descriptografia. Como dito nesta nota, as vítimas precisam estabelecer contato com os cibercriminosos enviando uma mensagem para sua conta do Telegram (@root_exploit6). Embora não haja mais informações sobre descriptografia dentro da nota, os desenvolvedores provavelmente a fornecerão depois de entrar em contato com eles. Como regra, colaborar com vigaristas e pagar dinheiro a eles não é recomendado - isso ocorre porque há uma chance de que eles o enganem e não forneçam nenhuma ferramenta/códigos de descriptografia mesmo após a conclusão do pagamento.