Ransomware

Cat4er é um vírus ransomware que aciona a criptografia de dados ao infectar o sistema alvo. Ele o faz atribuindo a .cat4er extensão para fazer com que os arquivos criptografados pareçam 1.pdf.cat4er, 1.png.cat4er, 1.xlsx.cat4er, e assim por diante, dependendo do nome original. Após executar essas alterações, o vírus cria um arquivo HTML chamado HOW_FIX_FILES.htm e destinado a instruir as vítimas através do processo de descriptografia. Conforme declarado na nota HTML, as vítimas podem acessar novamente todos os dados bloqueados acessando o link TOR anexado e seguindo as instruções sobre como comprar um software especial de descriptografia. As vítimas têm 10 dias para decidir pagar o resgate no valor de 0.08 BTC - cerca de 3300 $ no momento da redação deste artigo. Após o pagamento, os cibercriminosos prometem enviar as ferramentas declaradas capazes de descriptografar os arquivos. Infelizmente, os agentes de ransomware são as únicas figuras que possuem as chaves necessárias para desbloquear seus dados. Essas chaves geralmente são fortemente protegidas e quase impossíveis de quebrar com a ajuda de ferramentas de terceiros.

Nova exploração é um vírus ransomware projetado para criptografar dados armazenados no PC e chantagear as vítimas para que paguem o chamado resgate. A criptografia bem-sucedida é justificada depois que o Newexploit altera as extensões de arquivo para .exploit. Por exemplo, um arquivo como 1.pdf irá soltar seu ícone original e mudar para 1.pdf.exploit. Como resultado disso, os usuários perdem o acesso aos arquivos, o que significa que não podem mais lê-los ou editá-los. Para corrigi-lo, Newexploit oferece às suas vítimas que sigam as instruções escritas dentro de uma nota de texto (INFORMAÇÕES DE RECUPERAÇÃO.txt). Esta nota é criada imediatamente após a criptografia bem-sucedida e contém informações sobre como recuperar os dados.

Fazendo parte da família Phobos, Elbie é uma infecção de ransomware projetada para gerar lucros para seus desenvolvedores extorquindo dinheiro das vítimas. Ele faz isso logo após criptografar dados e anexar novas extensões de arquivo. Por exemplo, um arquivo chamado 1.pdf vai mudar para algo como 1.pdf.id[C279F237-2994].[antich154@privatemail.com].Elbie e também redefinir seu ícone original. O padrão usado pelos cibercriminosos para renomear arquivos é original_filename.[victim's ID].[antich154@privatemail.com].Elbie. Depois de aplicar todas as alterações visuais, o vírus cria duas notas de resgate chamadas info.hta e info.txt. Ambos contêm instruções curtas e mais amplas sobre como devolver os dados bloqueados.

cadeado é um vírus ransomware que hackeia dispositivos QNAP e NAS usando problemas de vulnerabilidade para criptografar os dados armazenados. Isso acontece imediatamente, não permitindo que os usuários impeçam o processo e salvem seus arquivos de criptografia forte. Uma vez distribuído, o vírus sequestra a tela de login da QNAP para apresentar uma nota de resgate exigindo que as vítimas paguem pela descriptografia. Isso impede os usuários infectados de irem a qualquer lugar além da tela de log para acessar sua página de administração, por exemplo. No entanto, a QNAP observou que isso pode ser ignorado usando os seguintes URLs - http://nas_ip:8080/cgi-bin/index.cgi or https://nas_ip/cgi-bin/index.cgi. Além disso, todos os pop-ups de notas de resgate também estão contidos em um único arquivo HTML chamado index.html_deadlock.txt. DeadBolt também atribui o novo .fechadura extensão para todos os dados impactados dentro de um sistema. Para ilustrar, um arquivo como 1.pdf mudará para 1.pdf.deadbolt tornando-se totalmente inacessível. O mesmo acontecerá com todos os arquivos criptografados pelo DeadBolt Ransomware. Você pode expandir a lista de todas as extensões de arquivo visadas por esta variante de ransomware:

Asistchinadecriptografia foi classificado como uma infecção por ransomware. Isso significa que é capaz de criptografar dados pessoais e exigir dinheiro para sua devolução. Durante a criptografia, todos os arquivos comprometidos sofrem alterações visuais - o vírus anexa .asistchinadecryption juntamente com um ID de vítima para nomes de arquivos originais. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.asistchinadecryption.C04-41D-05E e redefina seu ícone original. O mesmo será aplicado a todos os outros dados, variando apenas com os IDs por vítima. O criptografador de arquivos também cria um arquivo chamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Esta é uma nota de resgate destinada a fornecer às vítimas etapas sobre como recuperar os arquivos.

Coelho Branco é classificado como um programa de ransomware que executa criptografia de dados para exigir dinheiro para seu retorno. Ele foi detectado por Michael Gillespie - um popular pesquisador de malware especializado em infecções de ransomware. Ao criptografar todos os dados importantes armazenados em um sistema, o vírus anexa um .scrypt extensão ao final de cada arquivo. Por exemplo, uma amostra chamada 1.pdf mudará para 1.pdf.scrypt e redefina seu ícone original. Além disso, todos os arquivos bloqueados receberão seus arquivos de nota de resgate com chaves de criptografia exclusivas. 1.pdf.scrypt terá 1.pdf.scrypt.txt, 1.xlsx.scrypt - 1.xlsx.scrypt.txt, e assim por diante.

WaspLocker é uma infecção de vírus bastante devastadora que criptografa dados pessoais com fortes algoritmos criptográficos. Isso é para garantir que os usuários não possam retornar seus dados sem a ajuda de cibercriminosos. Infelizmente, os cibercriminosos exigem que suas vítimas paguem 0.5 BTC, o que é insuportavelmente alto. Os usuários atacados pelo WaspLocker recebem essas informações dentro de uma nota de texto chamada Como restaurar seus arquivos.txt e uma janela pop-up separada com instruções sobre como recuperar arquivos bloqueados. Além disso, os desenvolvedores do WaspLocker destacam a criptografia de dados anexando novas extensões (.locked or .0.locked) e redefinindo ícones de arquivos. Por exemplo, um arquivo como 1.pdf irá alterar para 1.pdf.locked or 1.pdf.0.locked dependendo de qual versão do WaspLocker infectou seu sistema.

KMA47 foi desenvolvido com o único propósito - criptografar dados pessoais e exigir dinheiro para sua devolução. Esse vírus se enquadra na categoria de infecções de ransomware de alto risco. O processo de criptografia de dados começa com a adição de novos .criptografar extensão no final dos arquivos bloqueados e termina com a criação de read_me.txt - uma nota de resgate explicando as instruções sobre como recuperar os arquivos. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.encrypt e redefina seu ícone. O KMA47 também altera os papéis de parede das vítimas. A nota diz que foi hackeado pelo vírus, resultando em criptografia completa de dados. Para corrigi-lo, as vítimas são orientadas a entrar em contato com criminosos cibernéticos usando comunicação por e-mail (manager@mailtemp.ch or helprestoremanager@airmail.cc) e pagar um resgate de 100$ eventualmente. Depois de enviar o dinheiro, os desenvolvedores de ransomware devem enviar sua chave privada e um software especial de descriptografia para desbloquear os dados. Embora os cibercriminosos possam ser as únicas figuras capazes de descriptografar totalmente seus dados, pagar o resgate nem sempre garante que você o receberá eventualmente. Infelizmente, a descriptografia manual também é menos provável devido a algoritmos fortes e armazenamento online de chaves. Você pode tentar usar descriptografadores de terceiros, a menos que tenha cópias de backup disponíveis. Se você tiver arquivos sobressalentes armazenados na nuvem segura ou armazenamento físico, copie-os de volta e evite pagar o resgate.