Ransomware

Anime é o nome de um criptovírus. Ele é projetado para tornar os dados armazenados no sistema inacessíveis e não mais operáveis. Os usuários infectados com ransomware podem ver o processo de criptografia observando os arquivos restritos - todos eles acabam alterados com o .anime extensão. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.anime e redefina seu ícone original também. Depois de fazer as coisas com criptografia, o vírus lança instruções de resgate sobre como recuperar os dados. Eles podem ser encontrados dentro de um arquivo de texto chamado I_LOVE_ANIME.txt. Conforme declarado na nota, as vítimas têm 2 dias para entrar em contato com os cibercriminosos em zdarovachel@gmx.at e pagar pela descriptografia dos arquivos. Caso as vítimas não cumpram o prazo alocado, todos os dados criptografados serão publicados em recursos da dark web para futuros abusos. Além disso, os desenvolvedores de ransomware também desaconselham a modificação dos arquivos ou a tentativa de descriptografá-los sem criminosos cibernéticos. No momento em que escrevo este artigo, não há maneira garantida de descriptografar dados gratuitamente sem a ajuda dos desenvolvedores iniciais.

Kashima (KashimaWareGenericName) é um programa de ransomware - o tipo de software malicioso projetado para criptografar dados e exigir dinheiro para seu retorno. Ao contrário de outras infecções desse tipo, o vírus tem como alvo formatos de arquivo específicos e bastante incomuns - .config, .cfg, .js, .NOOB, .lua, .lw e .tryme também. Portanto, modifica-os com a .KASHIMA extensão. Por exemplo, um arquivo como 1.js mudará para 1.js.KASHIMA, 1.cfg para 1.cfg.KASHIMA e assim por diante com outros dados afetados. Assim que esse processo é concluído, Kashima exibe uma mensagem pop-up (KashimaWare AVISO!) em toda a tela.

Desculpe, são apenas negócios é o nome de um vírus ransomware. Assim como outras infecções desse tipo, ele criptografa dados pessoais e chantageia as vítimas para que paguem um resgate. O processo de criptografia pode ser facilmente detectado observando os arquivos afetados. Sorryitsjustbusiness altera suas extensões originais para caracteres aleatórios e redefine os ícones para branco. Para ilustrar, um arquivo como 1.pdf pode mudar para 1.pdf.ws9y, 1.png para 1.png.kqfb, e assim por diante com outras extensões e arquivos aleatórios. Após a criptografia bem-sucedida, o vírus cria uma nota de texto chamada read_it.txt e instala novos papéis de parede da área de trabalho. Tanto a nota de texto quanto os papéis de parede exibem informações sobre como recuperar os dados. As vítimas dizem que é necessário comprar uma chave exclusiva para descriptografar seus arquivos. O custo desta chave é de $ 150,000 a serem pagos em Bitcoin para o endereço de criptografia anexado. Após a transferência, as vítimas devem informar os vigaristas enviando uma mensagem para o seu endereço de e-mail (desculpeitsjustbusiness@protonmail.com). Se as vítimas não fizerem isso dentro de 24 horas após serem infectadas, o preço da descriptografia dobrará. Também é mencionado que os arquivos criptografados serão excluídos após 48 horas de inação das vítimas. Com base na quantidade exigida de resgate, podemos supor que o objetivo da Sorryitsjustbusiness é definido em empresas com um bom nível de ganhos. Como regra, não é aconselhável confiar em cibercriminosos e pagar o resgate que eles desejam.

Ser parte da pó família, ARMÁRIO ANUBIZ é uma infecção de ransomware projetada para criptografar dados. Ele faz isso usando algoritmos de criptografia seguros e modificando os nomes dos dados afetados com o .lomer extensão. Para ilustrar, um arquivo chamado 1.pdf mudará para 1.pdf.lomer e redefina seu ícone original em branco. Depois de restringir com sucesso o acesso aos dados, o vírus chantageia as vítimas para que paguem um resgate. Isso é feito através do How To Restore Your Files.txt arquivo de texto que é criado em dispositivos comprometidos. O arquivo diz que todos os arquivos valiosos foram criptografados e copiados para servidores de cibercriminosos, todos os backups também foram excluídos. As vítimas podem potencialmente restaurar seus dados comprando um software especial de descriptografia oferecido pelos invasores. É orientado a estabelecer contato com cibercriminosos usando seu endereço de e-mail para obter mais detalhes sobre a descriptografia. Os usuários infectados também podem anexar um arquivo em sua mensagem e descriptografar gratuitamente. Se as vítimas ignorarem esses pedidos e demorarem a pagar o resgate, os cibercriminosos ameaçam começar a vazar arquivos coletados para recursos da dark web.

Qmam4 é uma infecção de alto risco categorizada como um criptovírus. A razão pela qual é chamado dessa maneira está em seu comportamento pós-ataque - o vírus exige que as vítimas paguem uma quantia em dinheiro em criptomoeda ao bloquear o acesso aos dados. Essas infecções também são conhecidas como ransomware. Eles criptografam dados pessoais e chantageiam as vítimas para que paguem o resgate. Durante a criptografia, o Qmam4 anexa uma sequência de caracteres aleatórios e o novo .qmam4 extensão para cada arquivo afetado. Por exemplo, 1.pdf mudará para 1.pdf.{random sequence}.qmam4 deixando de ser acessível. Em seguida, o Qmam4 cria um arquivo de texto chamado C3QW_HOW_TO_DECRYPT.txt que ilustra como as vítimas podem desbloquear seus dados. Diz-se que as vítimas podem descriptografar e impedir que dados importantes sejam vendidos em recursos da dark web. Para fazer isso, as vítimas são instruídas a entrar em contato com criminosos cibernéticos usando o link Tor. Depois de entrar em contato com os desenvolvedores, eles supostamente dirão para você enviar dinheiro em criptomoeda e recuperar uma ferramenta especial de descriptografia posteriormente. Caso as vítimas se recusem a seguir as instruções, os dados coletados serão vazados para as mãos de figuras de terceiros. Infelizmente, a colaboração com cibercriminosos pode ser a única maneira de descriptografar seus dados e evitar dados vazados publicamente. É menos provável que alguma ferramenta de terceiros consiga descriptografar seus dados gratuitamente sem a ajuda de invasores.

ALBASA é um vírus do tipo ransomware projetado para criptografar dados armazenados no sistema e chantagear as vítimas para que paguem dinheiro pelo seu retorno. Durante a criptografia, todos os arquivos adquirem o novo .ALBASA extensão e redefina seus ícones originais em branco. Isso também é acompanhado pela criação de RESTORE_FILES_INFO.txt - uma nota de texto contendo instruções sobre como recuperar dados bloqueados.

Cantopeno é uma infecção por ransomware que foi descoberta recentemente. Ele criptografa arquivos pessoais adicionando o .cantopen extensão e criar o HELP_DECRYPT_YOUR_FILES.txt arquivo de texto para chantagear as vítimas a pagar o resgate. Para ilustrar, um arquivo chamado 1.pdf será alterado para 1.pdf.cantopen e solte seu ícone de atalho original. Essa alteração será aplicada a todos os dados direcionados, tornando-os não mais acessíveis.

Preto é o nome de uma infecção por ransomware que foi descoberta recentemente. Ele foi desenvolvido para executar criptografia de dados e chantagear as vítimas para que paguem dinheiro pelo seu retorno. As vítimas podem detectar uma descriptografia bem-sucedida simplesmente olhando seus arquivos - a maioria deles será alterada usando o .black extensão e perder os ícones originais. Para dar um exemplo, 1.pdf será alterado para 1.pdf.black, 1.png para 1.png.black, e assim por diante com o restante dos arquivos de destino. Então, assim que essa parte da criptografia é feita, o vírus apresenta instruções de descriptografia dentro de uma nota de texto (read_me.txt).