Ransomware

IceFire é o nome de uma infecção de computador classificada como ransomware. Os cibercriminosos por trás disso visam a criptografia de dados de usuários corporativos e, em seguida, extorquem dinheiro (na criptomoeda Monero) para descriptografia de arquivos. Ao analisar os relatórios técnicos do vírus, o vimos usando uma combinação de algoritmos criptográficos AES + RSA para codificar dados importantes. Assim como outras infecções, o IceFire Ransomware usa sua própria extensão - .iFire para destacar os dados restritos. Para ilustrar, um arquivo anteriormente intitulado 1.pdf mudará para 1.pdf.iFire e deixar de ser acessível. Após a criptografia bem-sucedida, os cibercriminosos fornecem instruções sobre quais etapas de recuperação devem ser tomadas dentro do iFire-readme.txt nota.

Vênus é um vírus do tipo ransomware que foi descoberto recentemente por um pesquisador de malware chamado S!Ri. Sua principal função é a criptografia de arquivos e também a extorsão de dinheiro para descriptografia das vítimas. Ao criptografar dados com algoritmos criptográficos, todos os arquivos afetados são alterados com o .venus extensão. Para ilustrar, se 1.pdf acaba afetado pela infecção, ele se tornará 1.pdf.venus também e redefina seu ícone original. Depois disso, as vítimas se familiarizam com as instruções de descriptografia dentro do README.txt nota. Os papéis de parede da área de trabalho também são substituídos.

WildFire Locker é um programa malicioso categorizado como ransomware. Ele opera restringindo o acesso aos dados (com algoritmos de criptografia AES-256 CBC) e exigindo dinheiro das vítimas. Durante o processo de criptografia de dados, todos os arquivos direcionados adquirem esse formato longo e escrito #WildFire_Locker#[original file name]##.[original extension].wflx. Os cibercriminosos fazem isso para destacar a criptografia e fazer com que as vítimas a detectem. Por exemplo, um arquivo anteriormente chamado documents.pdf será, portanto, algo como #WildFire_Locker#documents##.pdf.wflx e redefina seu ícone original também. Em seguida, o vírus cria três arquivos com extensões .txt, .html e .bmp fornecendo informações relevantes sobre o procedimento de descriptografia. As instruções mais detalhadas são fornecidas dentro do HOW_TO_UNLOCK_FILES_README_(victim's unique ID).txt nota de texto.

PLAY é um vírus do tipo ransomware que executa criptografia de dados importantes e extorque dinheiro das vítimas. Ao tornar os arquivos inacessíveis, ele atribui o .PLAY extensão e também cria uma nota de texto chamada ReadMe.txt. Por exemplo, um arquivo anteriormente intitulado 1.pdf mudará para 1.pdf.PLAY e redefina seu ícone após a criptografia. Desde então, as vítimas perdem o controle sobre seus dados e precisam ler instruções sobre sua recuperação na nota de texto criada. É comum que as infecções por ransomware sejam distribuídas por meio de técnicas de phishing. Um vírus pode ser disfarçado como algum arquivo de aparência legítima (por exemplo, Word, Excel, PDF, EXE, JavaScript, RAR, ZIP, etc.) e ser enviado dentro de uma carta de spam de e-mail. Tal carta pode apresentar informações explicando a “importância” de abrir arquivos ou links anexados.

Ransomcrow é uma infecção de ransomware projetada para criptografar dados valiosos e chantagear as vítimas para que paguem pela sua recuperação. Durante a criptografia, ele atribui o .encrypted extensão, que é genérica para muitos criptografadores de arquivos. Para ilustrar, um arquivo inicialmente chamado 1.pdf mudará para 1.pdf.encrypted e também solte seu ícone. Depois disso, o vírus cria uma nota de texto chamada readme.txt e também substitui os papéis de parede da área de trabalho. As informações na nota gerada destinam-se a orientar as vítimas no processo de recuperação. Diz-se que um pagamento equivalente a € 50 em Bitcoins é necessário para a transferência para obter ferramentas especiais de descriptografia e retornar os dados. As vítimas também podem entrar em contato com os vigaristas para comunicação pessoal através do endereço de e-mail fornecido (ransomcrow@proton.me). Como regra, a descriptografia sem a ajuda de cibercriminosos é muito complexa e até impossível - pode ser o contrário se houver alguns bugs ou falhas que aliviam a interferência de terceiros.

Payt é o nome de uma infecção por ransomware que criptografa dados armazenados no sistema e chantageia as vítimas para que paguem dinheiro pelo seu retorno. Ele faz isso adicionando novos nomes de arquivos (que consistem no ID exclusivo da vítima, e-mail dos cibercriminosos e .Payt or .payt extensão). Por exemplo, é assim que um arquivo de imagem infectado pelo Payt Ransomware provavelmente aparecerá - 1.png.[MJ-YK7364058912](wesleypeyt@tutanota.com).Payt. Depois disso, uma nota exigindo dinheiro chamada ReadthisforDecode.txt é gerado na área de trabalho. Conforme declarado nesta mensagem, as vítimas devem escrever um e-mail para os endereços wesleypeyt@tutanota.com ou wesleypeyt@gmail.com e expressar seu interesse em descriptografar os dados. Também é possível enviar um arquivo de teste e descriptografar gratuitamente - dessa forma, os cibercriminosos procuram ilustrar que sua descriptografia realmente funciona e pode ser confiável.

World2022decoding é uma infecção de ransomware recente que foi detectada criptografando dados armazenados no dispositivo e chantageando as vítimas para pagar por isso. Durante a criptografia, todos os arquivos afetados são anexados ao ID pessoal da vítima e o .world2022decoding extensão também. Como resultado, ele adquire um novo visual semelhante a este - a partir de anteriormente não infectados 1.png para agora restrito 1.png.[9222911A].world2022decoding. Este é apenas um exemplo e pode acontecer com qualquer dado, especialmente documentos e bancos de dados. Os cibercriminosos também criam uma nota de texto chamada WE CAN RECOVER YOUR DATA.MHT que envolve instruções sobre como devolver os arquivos.

Arai é um programa malicioso que visa usuários corporativos para criptografar dados de negócios e exigir que as vítimas paguem por seu retorno. Ao restringir o acesso aos dados, o vírus altera os arquivos com a .araicrypt extensão, levando a ícones em branco também. Por exemplo, um arquivo como 1.pdf mudaria para 1.pdf.araicrypt e perder seu ícone original. Depois disso, os dados se tornam inacessíveis e não mais utilizáveis. O próximo passo que Arai faz é criar uma nota de texto chamada READ_TO_RESTORE_YOUR_FILES.txt. Esta nota esclarece o que aconteceu e como as vítimas podem se recuperar disso. Em suma, os cibercriminosos informam que todos os dados importantes (bancos de dados, dados de clientes etc.) foram copiados e os backups locais foram excluídos. Diz-se também que, em caso de não cumprimento das instruções fornecidas, as vítimas perderão a chance de recuperar os dados e também ficarão sujeitas a sofrimentos financeiros e reputacionais - devido à possível publicação de dados que pode ocorrer posteriormente. Caso contrário, as vítimas devem entrar em contato com os vigaristas usando um dos endereços de e-mail fornecidos e pagar pela descriptografia (supostamente cara e em criptomoeda). Nesse caso, os extorsionários prometem apagar os dados coletados e não publicá-los, portanto.