Ransomware

Proton é uma infecção de ransomware. O objetivo deste vírus é executar a criptografia de dados potencialmente críticos e, em seguida, exigir dinheiro para sua descriptografia completa. Ao fazer isso, o Proton também altera os arquivos visualmente - um arquivo afetado com aquisição kigatsu@tutanota.com endereço de e-mail, ID da vítima e .Proton or .kigatsu extensão para arquivos criptografados. Por exemplo, um arquivo como 1.pdf vai virar para se parecer com algo como 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Após essa alteração, as vítimas não poderão mais acessar seus arquivos, independentemente das modificações feitas. Depois disso, o vírus solta o README.txt nota de texto, que contém instruções de descriptografia. Diz-se que os dados da vítima foram criptografados (usando algoritmos AES e ECC) e roubados por cibercriminosos. A palavra “roubado” provavelmente sugere que os dados criptografados foram copiados para os servidores dos cibercriminosos e podem ser abusados ​​a qualquer momento, a menos que o resgate seja pago. Os atores da ameaça incentivam suas vítimas a contatá-los via Telegram ou e-mail e adquirir o serviço de descriptografia. Além disso, as vítimas também podem enviar um arquivo (menos de 1 MB) e descriptografá-lo gratuitamente. Desta forma, os cibercriminosos demonstram a sua fiabilidade, bem como a sua capacidade de devolver o acesso aos dados bloqueados. No final da mensagem de resgate, os extorsionistas apresentam alguns avisos sobre os riscos de tentar descriptografar arquivos sem a ajuda de desenvolvedores de ransomware.

Reload Ransomware é uma forma de malware que atinge indivíduos e organizações, criptografando seus arquivos e exigindo um resgate pelas chaves de descriptografia. Faz parte Makop Ransomware família. A nota de resgate normalmente começa com uma declaração de que todos os arquivos foram criptografados e agora possuem o .reload extensão anexada a eles. O ransomware usa algoritmos de criptografia robustos para bloquear os arquivos, tornando-os inacessíveis sem a chave de descriptografia correspondente. O tipo específico de criptografia usado pelo Reload Ransomware não é explicitamente mencionado nas fontes fornecidas, mas o ransomware normalmente emprega criptografia AES (Advanced Encryption Standard) ou RSA, que são altamente seguras e difíceis de quebrar sem a chave de descriptografia exclusiva. A nota de resgate criada pelo Reload Ransomware é normalmente um arquivo de texto (+README-WARNING+.txt) que é colocado em pastas que contêm arquivos criptografados. Esta nota afirma claramente que os ficheiros foram encriptados e fornece instruções sobre como pagar o resgate para recuperar os ficheiros. A nota pode incluir detalhes como o valor do resgate exigido, geralmente em criptomoedas como Bitcoin, para garantir o anonimato da transação.

CryptNet Ransomware é um tipo de malware que criptografa arquivos em computadores infectados e exige o pagamento de um resgate pela chave de descriptografia. É um novo ransomware como serviço (RaaS) que surgiu em abril de 2023 e é conhecido por sua eficiência na criptografia de arquivos. O ransomware é escrito na linguagem de programação .NET e é ofuscado usando o .NET Reactor para evitar a detecção. Ao criptografar arquivos, o CryptNet acrescenta uma extensão aleatória de cinco caracteres aos nomes dos arquivos originais, tornando-os facilmente identificáveis ​​como comprometidos por este ransomware específico. CryptNet usa uma combinação de AES de 256 bits no modo CBC e algoritmos de criptografia RSA de 2048 bits para bloquear arquivos. Este método de criptografia dupla garante que os arquivos sejam criptografados com segurança e não possam ser descriptografados sem as chaves exclusivas mantidas pelos invasores. Após a criptografia, a CryptNet deixa cair uma nota de resgate chamada RESTORE-FILES-[string_aleatória].txt na área de trabalho da vítima. A nota informa as vítimas sobre a criptografia e fornece instruções sobre como pagar o resgate para recuperar os arquivos. Também inclui um ID de descriptografia exclusivo e pode oferecer um teste de descriptografia gratuito para provar a capacidade dos invasores de descriptografar os arquivos.

DoNex Ransomware é um tipo de software malicioso que se enquadra na categoria de ransomware, projetado para criptografar dados no computador da vítima, tornando os arquivos inacessíveis até que um resgate seja pago. Esta variante específica de ransomware foi identificada por pesquisadores de segurança da informação como uma ameaça que criptografa os dados do usuário e exige pagamento pela possibilidade de descriptografia. DoNex anexa um ID exclusivo da vítima às extensões dos arquivos criptografados. Por exemplo, um arquivo chamado myphoto.jpg seria renomeado para algo como myphoto.jpg.5GlA66BK7 após criptografia por DoNex. Embora detalhes específicos sobre o algoritmo de criptografia usado pelo DoNex ainda não sejam conhecidos, o ransomware normalmente emprega algoritmos criptográficos fortes, simétricos ou assimétricos, para bloquear arquivos. DoNex deixa uma nota de resgate chamada Readme.[victim's_ID].txt no computador da vítima, que contém instruções sobre como entrar em contato com os invasores, geralmente por meio de um canal de comunicação específico como o Tox messenger, e as exigências de pagamento.

Nood Ransomware é um software malicioso que criptografa arquivos no computador da vítima, tornando-os inacessíveis sem uma chave de descriptografia. Essa chave normalmente é mantida pelos invasores, que exigem um resgate em troca de sua liberação. Compreender a mecânica do ransomware NOOD, os seus métodos de infecção, as especificidades da encriptação que utiliza e as possibilidades de desencriptação é crucial tanto para a prevenção como para a remediação. Depois que o Nood Ransomware infecta um computador, ele criptografa os arquivos usando algoritmos de criptografia sofisticados. O ransomware desta natureza normalmente emprega criptografia assimétrica forte, tornando a descriptografia não autorizada extremamente difícil sem a chave exclusiva mantida pelos invasores. Os arquivos criptografados são anexados com o .nood extensão, significando sua inacessibilidade. Ao concluir o processo de criptografia, o Nood Ransomware gera uma nota de resgate (_readme.txt), instruindo as vítimas sobre como pagar o resgate para potencialmente recuperar seus arquivos. A nota normalmente inclui instruções de pagamento, geralmente exigindo pagamento em Bitcoin, e enfatiza a urgência de efetuar o pagamento para recuperar a chave de descriptografia.

Duralock Ransomware é um tipo de software malicioso identificado por pesquisadores de segurança da informação como uma ameaça significativa. Pertence à família de ransomware MedusaLocker e foi projetado para criptografar dados em computadores infectados, tornando os arquivos inacessíveis aos usuários. Depois que um computador é infectado, o Duralock criptografa os arquivos do usuário e anexa uma extensão distinta, .duralock05, para os nomes dos arquivos. Isso marca os arquivos como criptografados e evita que os usuários acessem seu conteúdo sem a chave de descriptografia. Duralock Ransomware cria uma nota de resgate chamada HOW_TO_BACK_FILES.html no computador infectado. Esta nota normalmente contém instruções para a vítima sobre como pagar um resgate aos invasores em troca da chave de descriptografia necessária para desbloquear os arquivos criptografados. Este artigo apresenta métodos de remoção, ferramentas de remoção e possíveis maneiras de descriptografar arquivos criptografados sem negociar com malfeitores.

RSA-4096 Ransomware é uma variante da família de ransomware Xorist, conhecida por criptografar os dados das vítimas e exigir resgate pela chave de descriptografia. Essa cepa específica usa o algoritmo de criptografia RSA-4096, que faz parte da cifra RSA assimétrica com tamanho de chave de 4096 bits, tornando-a muito segura e difícil de quebrar. Quando o ransomware RSA-4096 criptografa arquivos, ele anexa o .RSA-4096 extensão para os nomes dos arquivos. Por exemplo, um arquivo originalmente chamado 1.jpg seria renomeado para 1.jpg.RSA-4096. Depois de criptografar arquivos, o ransomware RSA-4096 deixa cair uma nota de resgate intitulada HOW TO DECRYPT FILES.txt na área de trabalho da vítima ou em diretórios criptografados. Esta nota explica que os ficheiros foram encriptados e fornece instruções sobre como pagar o resgate para receber a chave de desencriptação. As vítimas são instruídas a pagar 2 BTC (cerca de US$ 124,000 no momento da redação deste artigo) dentro de 48 horas pela chave de descriptografia. No entanto, pagar não garante a recuperação dos ficheiros e a remoção do ransomware não desencripta os ficheiros. O único método de recuperação confiável é por meio de backups.

Payuranson Ransomware é um tipo de malware que pertence à família de ransomware Skynet. Após a infiltração bem-sucedida, o Payuranson Ransomware inicia uma sofisticada rotina de criptografia. Normalmente tem como alvo uma ampla variedade de tipos de arquivos, incluindo documentos, imagens, vídeos e bancos de dados, para maximizar o impacto do ataque. O ransomware anexa uma extensão de arquivo específica aos arquivos criptografados, geralmente .payuranson, que serve como um indicador claro de infecção. O algoritmo de criptografia empregado pelo Payuranson Ransomware é frequentemente avançado, usando combinações de métodos de criptografia RSA e AES. Esses são algoritmos criptográficos conhecidos por sua robustez, tornando a descriptografia não autorizada excepcionalmente desafiadora sem a chave de descriptografia exclusiva mantida pelos invasores. Após o processo de criptografia, Payuranson Ransomware gera uma nota de resgate, normalmente chamada SkynetData.txt ou uma variante semelhante e o coloca em todas as pastas que contêm arquivos criptografados. Esta nota inclui instruções sobre como entrar em contato com os invasores, geralmente por e-mail ou site de pagamento baseado em Tor, e o valor do resgate exigido, geralmente em criptomoedas como Bitcoin. A nota também pode conter ameaças de exclusão de dados ou exposição para obrigar as vítimas a pagar o resgate.