Ransomware

Olho é um vírus perigoso que executa a criptografia de dados usando cifras criptográficas para restringir o acesso das vítimas. Esse tipo de infecção é classificado como ransomware e visa atrair suas vítimas para enviar dinheiro para a descriptografia. Para mostrar que os arquivos armazenados em um PC foram criptografados, o vírus atribui seu próprio .eeye extensão com strings de símbolos aleatórios gerados exclusivamente para cada amostra criptografada. Por exemplo, um arquivo como 1.pdf enfrentará uma mudança 1.pdf._9kS79wzVPITFK7aqOYOceNkL7HXF2abMSeeTutfPGP_I8Rqxs2yWeo0.eeyee ou similarmente com outros símbolos. Os arquivos criptografados serão bloqueados de qualquer acesso e também redefinirão seus ícones para branco. Quase imediatamente após a criptografia, Eeyee cria o 6pZZ_HOW_TO_DECRYPT.txt nota de texto com instruções de resgate. A nota destina-se a informar as vítimas sobre as alterações e orientá-las no processo de recuperação. Os cibercriminosos dizem que é obrigatório comprar um software especial de descriptografia para devolver os arquivos e evitar vazamentos dos dados comprometidos. As vítimas são instruídas a entrar em contato com os vigaristas usando o link onion no navegador Tor. Depois de concluir essas etapas, as vítimas entrarão em contato com os desenvolvedores e saberão mais detalhes sobre como comprar as ferramentas. A nota também contém algumas mensagens aconselhando a não modificar dados ou pedir ajuda de terceiros (FBI, Polícia, empresas de recuperação, etc.).

Você precisa pagar é um tipo de vírus categorizado como ransomware. Funciona criptografando arquivos pessoais e exigindo dinheiro para sua devolução. Durante este processo, o ransomware atribui o .você precisa pagar extensão para todos os dados bloqueados. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.youneedtopay e redefina seu ícone original. Após anexar essas alterações, o vírus cria uma nota de texto chamada LER_ESTE.txt que se destina a explicar as instruções de descriptografia. Os papéis de parede da área de trabalho também são alterados. Dê uma olhada em qual é o conteúdo lá.

Armário de administração é o nome de um vírus ransomware que começou a se espalhar em dezembro de 2021. Ele usa uma combinação de algoritmos AES+RSA para escrever cifras criptográficas seguras sobre os dados armazenados. Isso afeta o acesso dos arquivos e sua aparência visual. O Admin Locker anexa uma das seguintes extensões a todos os dados bloqueados - .admin1, .admin2, .admin3, .1admin, .2adminou .3admin. Não importa qual deles foi aplicado a você. Sua única função é mostrar que os arquivos foram criptografados e fazer com que as vítimas os vejam. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.1admin (ou outra extensão) e deixam de ser acessíveis. Após a criptografia, o Admin Locker explica como recuperar os dados em sua nota de texto (!!!Recovery File.txt) e em sua página web que pode ser acessada através do link TOR.

De jeito nenhum é uma infecção por ransomware que criptografa todos os dados importantes usando algoritmos AES-256. Ele também renomeia os dados bloqueados com símbolos gerados aleatoriamente e .de jeito nenhum extensão. Para ilustrar, um arquivo como 1.pdf mudará para 611hbRZBWdCCTALKlx.noway e perde seu ícone original após a criptografia bem-sucedida. Como regra, a maioria dos arquivos criptografados por ransomware não podem ser descriptografados sem a ajuda de cibercriminosos. Apesar disso, o Noway Ransomware é um dos poucos que pode ser descriptografado oficialmente usando a ferramenta Emisoft gratuitamente. Você pode baixá-lo ainda mais em nosso guia abaixo. Recomendamos que você não se apresse com o processo de descriptografia, pois você deve excluir o vírus primeiro (também guiado neste tutorial). Além de executar a criptografia de dados pessoais, o Noway emite uma nota de texto chamada Desbloqueie seu arquivo Instraction.txt. A nota mostra como recuperar seus dados com a ajuda de desenvolvedores de ransomware. Os bandidos dão 72 horas para decidir pagar o resgate. Caso as vítimas excedam esse prazo de pagamento, os vigaristas afirmam que seus dados ficarão inacessíveis para sempre. Isso não é verdade, pois os desenvolvedores da Emisoft conseguiram decifrar as cifras e ajudar as vítimas a descriptografar os arquivos do Noway gratuitamente.

RL Wana-XD é uma infecção de ransomware que criptografa dados importantes armazenados em um PC. Para destacá-lo, o vírus anuncia seu próprio .XD-99 extensão para todos os nomes de arquivos afetados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.XD-99 e redefinir seu ícone original. Como resultado, as vítimas não poderão mais acessar o arquivo e navegar em seu conteúdo. Para reverter essas implicações, os desenvolvedores de RL Wana-XD oferecem às suas vítimas a leitura de instruções especiais de descriptografia dentro de uma nota de texto (Readme.txt) A nota de texto é curta, mas específica - os desenvolvedores afirmam que a única maneira de retornar seus dados é pagando por um software e uma chave de descriptografia exclusivos. Para isso, as vítimas são orientadas a entrar em contato com os vigaristas por meio Wana-XD@bk.ru or RL000@protonmail.ch endereço de e-mail. Infelizmente, as chaves usadas pelo RL Wana-XD Ransomware para codificar seus dados são frequentemente seguras e armazenadas no modo ONLINE. Isso significa que a descriptografia manual com a ajuda de ferramentas de terceiros provavelmente não dará frutos ou conseguirá decodificar apenas parte dos dados. A menos que você tenha seu ID pessoal terminando com t1, a descriptografia de terceiros terá menos probabilidade de ajudar. Ao mesmo tempo, pagar os cibercriminosos está sempre associado ao risco, pois eles podem enganar suas vítimas e não enviar nenhuma descriptografia prometida.

Razer é o nome de uma infecção de ransomware que executa a criptografia de dados, solicitando às vítimas que paguem pela sua devolução. Os usuários infectados com este vírus verão seus nomes de arquivo alterados com uma sequência aleatória de caracteres, o endereço de e-mail dos cibercriminosos (razer1115@goat.si), E .razer extensão no final. Por exemplo, um arquivo chamado 1.pdf que passou por essas mudanças será parecido com isto 1.pdf.[42990E91].[razer1115@goat.si].razer e redefina seu ícone para o branco. Para descriptografar os dados, os desenvolvedores de vírus se oferecem para seguir as instruções fornecidas no readme-warning.txt nota de texto. Diz-se que as vítimas devem entrar em contato com as fraudes usando um dos e-mails (razer1115@goat.si, pecunia0318@tutanota.comou pecunia0318@goat.si) e pague o resgate em bitcoins. Para convencer as vítimas de que são confiáveis, os cibercriminosos oferecem a chamada opção de garantia, em que as vítimas podem enviar 2 arquivos com extensões simples (máx. 1 MB) e recebê-los descriptografados gratuitamente. Muitos criadores de ransomware usam esse truque para fazer com que as vítimas paguem o resgate e mantenham contato com elas. É altamente recomendável que você evite atender às solicitações dos desenvolvedores e, em vez disso, recupere seus dados usando um backup.

Descoberto por um pesquisador de malware chamado S!Ri, Surt é um programa de ransomware desenvolvido para criptografar vários tipos de dados pessoais. É sempre comum ver arquivos populares como músicas, fotos e documentos afetados durante o ataque de vírus. Surtr usa o e-mail dos cibercriminosos (DecryptMyData@mailfence.com) e .SURT extensão para renomear todos os dados bloqueados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.[DecryptMyData@mailfence.com].SURT e redefinir seu ícone original para branco. A mesma alteração será aplicada a outros dados que passaram pela criptografia. Além disso, também existem dois arquivos criados após a criptografia bem-sucedida - uma nota de texto chamada SURTR_README.txt e SURTR_README.hta que se destina a abrir uma janela pop-up. Ambos os arquivos são usados ​​para fornecer instruções de ransomware para as vítimas. Você pode dar uma olhada em seu conteúdo aqui abaixo:

Ser parte da Família de ransomware Dharma, Dr é outro criptografador de arquivos que bloqueia o acesso aos dados e exige que suas vítimas paguem pela devolução. Assim que a criptografia entrar em vigor, todos os arquivos armazenados em um sistema serão alterados com a identificação exclusiva das vítimas, o endereço de e-mail dos desenvolvedores e .dr extensão. Uma amostra afetada como 1.pdf vai se transformar em algo assim 1.pdf.id-1E857D00.[dr.decrypt@aol.com].dre assim por diante com outros tipos de dados criptografados. A única informação variável são os IDs das vítimas, portanto, é mais provável que sejam diferentes para cada usuário infectado. Após a criptografia bem-sucedida, o vírus cria uma nota de texto chamada FILES ENCRYPTED.txt. Ele também abre à força uma janela pop-up contendo as mesmas instruções de resgate da nota. As vítimas recebem instruções para entrar em contato com extorsionários por meio de comunicação por e-mail. Seu endereço de e-mail também é visível dentro da nova extensão que é adicionada aos dados bloqueados. Caso os desenvolvedores não respondam em 12 horas, as vítimas devem escrever para outro e-mail indicado na nota. Além disso, os criminosos por trás do Dr. Ransomware também alertam suas vítimas para não renomear arquivos ou usar ferramentas de terceiros para descriptografá-los. Também não há informações sobre quanto as vítimas devem pagar pela descriptografia de seus dados, pois isso será conhecido durante o contato com as fraudes.