Ransomware

Se seus arquivos não estiverem mais acessíveis e agora aparecerem com o novo .MEOW extensão (então .COLOQUE EM, .KREMLIN e .RÚSSIA extensões), então você provavelmente está infectado com Meow Ransomware (aka MeowCorp2022 Ransomware e ContiStolen Ransomware). Esse criptografador de arquivos bloqueia o acesso a praticamente todos os tipos de dados armazenados no sistema usando o algoritmo ChaCha20 e exige que as vítimas estabeleçam contato com seus desenvolvedores (presumivelmente para pagar pela descriptografia). Além disso, também foi determinado que este ransomware funciona em código roubado de outro popular criptografador de arquivos chamado Conti-2 Ransomware. Informações sobre como entrar em contato com vigaristas podem ser encontradas em uma nota de texto chamada readme.txt, que o vírus coloca em cada pasta com arquivos criptografados.

Loplup é um vírus de criptografia de arquivos que foi determinado como parte do ZEPPELIN família ransomware. Ao restringir o acesso aos dados armazenados no sistema, ele renomeia os arquivos atacados adicionando o .loplup.[victim's_ID] extensão. Isso significa que um arquivo chamado anteriormente 1.pdf vai mudar para algo como 1.pdf.loplup.312-A1A-FD7. Observe que o ID da vítima é variável, portanto pode ser diferente no seu caso. Após a criptografia bem-sucedida dos dados, o Loplup cria um arquivo de texto (!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT) que contém diretrizes de descriptografia.

FirstKill é uma infecção de ransomware projetada para criptografar os dados dos usuários e chantagear as vítimas para que paguem resgate financeiro por sua recuperação. Ele usa algoritmos de nível militar AES e RSA para executar criptografia forte e impedir que as vítimas acessem novamente seus arquivos. Durante esse processo, o FirstKill também renomeia todos os arquivos direcionados com o .FirstKill extensão e redefine seus ícones originais em branco. Por exemplo, um arquivo intocado anteriormente como 1.pdf mudará para 1.pdf.FirstKill e deixar de ser acessível. Depois disso, o vírus cria uma nota de texto chamada CO_SIĘ_STAŁO.html que contém instruções para descriptografar os dados.

ChinaHelper é um vírus ransomware projetado para criptografar dados pessoais e chantagear as vítimas para que paguem o resgate. Ao restringir o acesso aos dados com a ajuda dos algoritmos AES-256 e RSA-2048, o vírus atribui o .cnh extensão para que um arquivo como 1.pdf vira 1.pdf.cnh, por exemplo. A próxima coisa que o ChinaHelper faz é criar uma nota de texto chamada README.txt. Há também outra variante identificada em uma distribuição posterior, que atribuiu .cnhelp or .charm extensão para arquivos e criou o HOW_TO_RETURN_FILES.txt arquivo em vez disso.

Bom é o nome de uma infecção por ransomware. O malware dessa categoria criptografa os dados armazenados no sistema e exige que as vítimas paguem pela devolução. Esta variante de ransomware também é um subproduto da família VoidCrypt. Durante a criptografia, o vírus renomeia todos os arquivos direcionados de acordo com este exemplo - 1.png.[tormented.soul@tuta.io][MJ-KB3756421908].bom. Seus arquivos renomeados podem variar um pouco (por exemplo, uma sequência de caracteres diferente), mas a base permanecerá a mesma. Depois de restringir com sucesso o acesso aos dados, o ransomware cria uma nota de texto chamada Scratch - para fornecer diretrizes de descriptografia.

DASHA Ransomware é uma nova variante do Eternity Ransomware. Esse malware foi projetado para criptografar dados armazenados no sistema e exigir dinheiro para sua descriptografia. Ao restringir o acesso a arquivos (por exemplo, fotos, vídeos, documentos, bancos de dados, etc.), o vírus altera a aparência do arquivo com o .ecrp extensão. Por exemplo, um arquivo anteriormente chamado 1.pdf mudará, portanto, para 1.pdf.ecrp e deixar de ser acessível. Quando esse processo chega ao fim e todos os arquivos direcionados são renomeados, o DASHA substitui os papéis de parede da área de trabalho e exibe uma janela pop-up com instruções de resgate.

Loki Locker é o nome de um vírus ransomware projetado para extorquir dinheiro das vítimas executando uma forte criptografia de dados. Ele usa uma combinação de algoritmos AES-256 e RSA-2048 e também altera os nomes dos dados criptografados de acordo com este modelo - [][]original_file.Loki. Por exemplo, um arquivo anteriormente chamado 1.pdf mudará para [DecNow@TutaMail.Com][C279F237]1.pdf.Loki e deixar de ser acessível. Vale a pena notar que também existem algumas versões mais recentes do Loki Locker, que renomeiam dados com .Rainman, .Adair, .Boresh, .PayForKeyou .Spyro extensões. Após o bloqueio bem-sucedido dos arquivos, o vírus cria dois arquivos (Restore-My-Files.txt e info.hta) com instruções semelhantes que exigem resgate. Além disso, o Loki Locker também substitui os papéis de parede da área de trabalho para exibir breves etapas sobre o que deve ser feito.

Sendo uma nova variante de PGPCoder Ransomware, LOL! também é projetado para criptografar dados armazenados no sistema com a ajuda de algoritmos RSA e AES assimétricos. Esses algoritmos são muitas vezes fortes, tornando a descriptografia manual quase impossível, no entanto, isso ainda deve ser discutido em detalhes mais abaixo. Durante a criptografia, o vírus também anexa sua .LOL! extensão para cada arquivo afetado. Por exemplo, se fosse 1.pdf atacado pelo criptografador, ele mudaria para 1.pdf.LOL! e deixar de ser utilizável. Assim que todos os arquivos direcionados terminam com acesso restrito, o vírus elimina o get data.txt arquivo para cada pasta contendo dados criptografados (incluindo desktop). Este arquivo destina-se a explicar o que aconteceu e, o mais importante, instruir as vítimas durante o processo de recuperação.