Ransomware

Willow criptografa dados pessoais usando cifras criptográficas, altera extensões de arquivo para .salgueiro e exige o pagamento de 500 $ para redefinir as alterações atribuídas. Todas essas características o classificam como ransomware. Uma amostra de dados criptografados seria mais ou menos assim 1.pdf.willow. Os arquivos também perderão seus ícones de atalho originais. Willow Ransomware também muda papéis de parede da área de trabalho e cria o READMEPLEASE.txt nota de texto. Os papéis de parede e a nota de texto exibem a mesma instrução de resgate que as vítimas devem seguir para recuperar os dados. Diz-se que as vítimas devem pagar 500 $ em BTC para o endereço Bitcoin anexado, a menos que queiram perder seus arquivos para sempre. Também é mencionado que os descriptografadores de terceiros não serão capazes de remover cifras aplicadas aos arquivos por Willow. Infelizmente, isso não é nada, mas é verdade, pois muitas infecções de ransomware usam algoritmos de criptografia de alto grau e armazenam suas chaves em servidores online. Por esse motivo, a descriptografia manual muitas vezes parece ser impossível. Não recomendamos que você pague o resgate exigido porque existe o risco de ser enganado eventualmente. Os extorsionários são famosos por despejarem suas vítimas e não enviarem nenhuma ferramenta de descriptografia, mesmo depois de receber o dinheiro.

Mallox é o nome de um vírus ransomware capaz de criptografar todos os dados valiosos armazenados em um PC. O criptografador de arquivos usa algoritmos de criptografia fortes para atribuir cifras exclusivas e negar acesso posterior aos dados. Ele também anexa o novo .mallox extensão destinada a destacar os dados bloqueados. Para ilustrar, um arquivo como 1.pdf mudará para 1.pdf.mallox e redefinir seu ícone original. Observe que remover o .mallox extensão não o ajudará a abrir o arquivo, desde que esteja criptografado. Após a criptografia bem-sucedida, o vírus abre e coloca uma nota de texto chamada INFORMAÇÕES DE RECUPERAÇÃO.txt em sua área de trabalho que contém instruções de resgate. O arquivo diz que apenas um software de descriptografia exclusivo será capaz de acessar seus dados. Para obtê-lo, os usuários devem enviar uma carta por e-mail com sua identificação pessoal para os cibercriminosos. Em seguida, as vítimas receberão mais instruções sobre como comprar a ferramenta de descriptografia. Também é mencionado que existe a possibilidade de testar a descriptografia gratuita do arquivo, enviando algumas amostras criptografadas que não contêm dados valiosos. Antes de começar a pensar sobre as opções de recuperação, temos que informá-lo sobre os riscos de pagar o resgate. Muitos cibercriminosos enganam suas vítimas e não enviam nenhum instrumento de descriptografia, mesmo depois de receber o dinheiro.

Também conhecido como hakbit, Thanos é um grupo de ransomware que desenvolve várias infecções de criptografia de arquivos. Ele foi descoberto pela primeira vez por GrujaRS, um pesquisador de segurança independente especializado em ransomware. O vírus tem uma árvore genealógica bastante longa com muitas versões diferentes usando algoritmos AES para executar a criptografia de arquivos. Cada um deles possui uma extensão separada que é atribuída aos dados criptografados. Os mais recentes são .steriok, .cibernético e .cristal. Se você notou a alteração dos ícones de atalho junto com as extensões, isso significa que seus arquivos foram criptografados com sucesso. Para ilustrar, um arquivo como 1.pdf mudará para 1.pdf.steriok, 1.pdf.cyber, 1.pdf.crystal ou de forma semelhante, dependendo de qual versão se infiltrou em seu sistema. Após a criptografia, Thanos cria um HOW_TO_DECYPHER_FILES.txt, HELP_ME_RECOVER_MY_FILES.txt or RESTORE_FILES_INFO.txt arquivos de texto. Estes são os nomes das notas de resgate contendo instruções sobre como resgatar seus dados.

Zoom é um programa de ransomware que executa a criptografia de dados para exigir dinheiro para sua recuperação. Durante a criptografia do arquivo, o Zoom usa algoritmos matemáticos fortes junto com o .zoom extensão que é acrescentada para alterar os arquivos visualmente. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.zoom e redefinirá seu ícone de atalho padrão. O mesmo será visto em todos os outros dados direcionados pelo Zoom Ransomware. Depois de fazer as coisas com a criptografia, o Zoom muda os papéis de parede da área de trabalho e cria o recovery-you-all-files.txt arquivo contendo instruções de resgate.

CryptoJoker é uma família de ransomware que libera todos os novos criptografadores de arquivos a cada ano. Assim como outras infecções de ransomware, o CryptoJocker busca a criptografia de dados potencialmente valiosos (por exemplo, fotos, vídeos, músicas, documentos, bancos de dados, etc.) para exigir dinheiro para seu retorno completo. Dependendo de qual versão atacou seu sistema, os arquivos criptografados serão anexados com uma das seguintes extensões - .encrypter @ tuta.io.encrypted, .crjoker, .cryptlocker, .cryptoNar, .cryptlocker, .não chore, .devos, .devoscpu. Esses são frequentemente acompanhados por .completamente e .parcialmente sufixos, supostamente significando que alguns arquivos estão total ou parcialmente criptografados. Por exemplo, um arquivo como 1.pdf pode mudar para 1.pdf.crjoker, 1.pdf.encrypter@tuta.io.encrypted, e assim por diante. Diferentes versões do CryptoJocker usavam diferentes formatos de apresentação de instruções de resgate. Alguns exibem uma janela interativa, enquanto outros criam notas de texto separadas.

Descoberto por um pesquisador chamado S!Ri, Foxxy é um programa malicioso que pertence à categoria de malware conhecida como ransomware. Seu principal objetivo é criptografar dados pessoais e exigir dinheiro para sua recuperação. No momento em que o Foxxy começar a criptografar os dados, todos os arquivos receberão um novo .foxxy extensão e redefinir seus ícones de atalho. É assim que um arquivo criptografado como 1.pdf finalmente parecerá com - 1.pdf.foxxy. Então, assim que o processo de criptografia é concluído, o vírus exibe uma janela de tela inteira e cria uma nota de texto chamada ___ RECUPERAR__FILES __. Foxxy.txt. Ambos apresentam instruções de resgate para recuperar os dados. Você pode verificar o conteúdo completo de ambas as notas de resgate abaixo:

Udacha é um vírus ransomware que criptografa dados com algoritmos AES + RSA e exige o pagamento de 490 $ (0.013 BTC) para devolvê-los. Esta informação é visível dentro do ReadMe_Instruction.mht arquivo, que é criado após a criptografia dar seus retoques finais nos dados. Antes disso, no entanto, os usuários verão seus arquivos alterados com o .udacha extensão. Para ilustrar, um arquivo como 1.pdf mudará para 1.pdf.udacha e redefina seu ícone de atalho. Abaixo, você pode ver todas as informações que estão escritas na nota de resgate.

PROJETO GABUTS é um vírus ransomware que criptografa os dados armazenados no sistema para extorquir dinheiro para sua devolução. Ele faz isso anexando o .estou de volta extensão para cada arquivo modificado. Arquivos como música, vídeos, fotos e documentos adquirirão a nova extensão e redefinirão seus ícones de atalho originais. Aqui está um exemplo de como os arquivos criptografados ficarão - 1.pdf.im back; 1.mp4.im back; 1.png.im back, 1.docx.im back, e assim por diante. Depois disso, o vírus apresenta uma janela pop-up e cria o arquivo "gabuts project is back.txt" contendo instruções de resgate. O texto é escrito na primeira pessoa com solicitações de envio de 100 BTC para descriptografia de dados. Este é exatamente o preço que as vítimas devem enviar para restaurar os dados. Também é mencionado que este pagamento deve ser feito no prazo de 1 dia após a infecção. Para iniciar a comunicação, as vítimas devem escrever para o endereço de e-mail afixado. De acordo com o texto, também existe a opção de descriptografar 1 arquivo acessando o link tor. Infelizmente, ninguém vai pagar o preço de 100 Bitcoins (5,712,670 $) a menos que seja uma grande empresa que perdeu dados extremamente importantes.