Ransomware

SUPERSUSO é um programa de ransomware que usa algoritmos de criptografia fortes para impedir que os usuários acessem seus próprios dados. Essa mudança visa estimular as pessoas a pagarem o chamado resgate para recuperar arquivos criptografados. As vítimas aprenderão sobre criptografia de arquivos por meio de novas extensões atribuídas a elas. Desenvolvedores SUPERSUSO usam o .ICQ_SUPERSUSO extensão para renomear todos os dados bloqueados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.ICQ_SUPERSUSO e redefinir seu ícone original. O mesmo será aplicado a todos os dados bloqueados em seu sistema. Depois disso, SUPERSUSO emite um arquivo de texto chamado #Decrypt#.txt para explicar as instruções de recuperação. No início, as vítimas são instruídas a instalar o software ICQ para PC, Android ou IOS e escrever para o endereço do destinatário dos cibercriminosos, que é mencionado na nota. O ICQ é um mensageiro confiável e legítimo usado por cibercriminosos para estabelecer comunicação anônima com suas vítimas. Se as vítimas não conseguirem entrar em contato com os desenvolvedores em 72 horas, as informações comprometidas serão coletadas e vazadas para os mercados de darknet.

Shasha é o nome de um vírus ransomware que criptografa e altera dados com o .shasha extensão. A nova extensão não é uma parte essencial da criptografia, mas sim um aspecto visual destinado a destacar os dados bloqueados. Se você vir esta extensão atribuída à maioria dos dados como este 1.pdf.shasha, então você está, sem dúvida, infectado com ransomware. A próxima etapa do desenvolvedor após bloquear o acesso aos arquivos é explicar como recuperá-los. Para isso, os cibercriminosos responsáveis ​​pelo vírus Shasha criam uma nota de texto chamada READ_ME.txt e alterar papéis de parede da área de trabalho. Dentro desta nota, extorsionários afirmam que são as únicas figuras capazes de descriptografar seus arquivos. Para ser mais preciso, são eles que possuem as chaves privadas e o software de descriptografia que podem desbloquear os dados. As vítimas são solicitadas a comprá-lo por 50 $ no BTC. O pagamento deve ser enviado através do endereço Bitcoin anexado na nota. Infelizmente, é bastante incerto como os cibercriminosos enviarão o software de descriptografia adquirido para você.

Resgate Comum é classificado como um vírus ransomware que criptografa os dados armazenados em dispositivos infectados para exigir o pagamento por sua devolução. Esta versão foi descoberta por um pesquisador de malware chamado Michael Gillepsie. Assim como muitas infecções de ransomware, CommonRansom atribui sua própria extensão para destacar os dados bloqueados. Todos os dados criptografados por CommonRansom serão alterados como este arquivo aqui - 1.pdf > 1.pdf.[old@nuke.africa].CommonRansom. Depois disso, mais uma coisa que falta iniciar pelo vírus é a criação da nota de resgate. O nome da nota é DESCRIPÇÃO.txt e é colocado em cada pasta com arquivos infectados. Esta nota diz que as vítimas têm 12 horas de antecedência para solicitar a descriptografia dos dados, caso contrário, não haverá mais chance de devolvê-los. Também existe um modelo que deve ser usado ao entrar em contato com criminosos cibernéticos por seu endereço de e-mail. O modelo anexado é realmente muito suspeito, pois solicita que as vítimas gravem sua porta RDP do PC, um nome de usuário junto com a senha usada para fazer login no sistema e a hora em que você pagou 0.1 BTC para o endereço criptográfico delineado.

Gyjeb é um vírus ransomware que executa criptografia de dados para extorquir dinheiro das vítimas. É muito semelhante ao Keq4p Ransomware, o que significa que provavelmente eles vêm da mesma família de malware. Assim como Keq4p, Gyjeb Ransomware atribui uma sequência aleatória de símbolos sem sentido junto com seus próprios .gyjeb extensão. Para ilustrar, um arquivo como "1.pdf" mudará sua aparência para algo como 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb e redefinir seu ícone original. Depois que todos os arquivos são editados dessa forma, o vírus cria uma nota de texto chamada nTLA_HOW_TO_DECRYPT.txt que envolve instruções de descriptografia. Você pode se familiarizar com esta nota na captura de tela abaixo.

Keq4p é uma infecção de ransomware que criptografa dados pessoais usando algoritmos criptográficos. Esses algoritmos garantem uma forte proteção de dados contra tentativas de descriptografá-los. Os arquivos atacados por ransomware geralmente são fotos, vídeos, músicas, documentos e outros tipos de dados que podem ter algum valor. A maioria dos criptografadores de arquivos altera todos os arquivos afetados atribuindo sua própria extensão. Keq4p faz exatamente o mesmo, mas também anexa uma sequência aleatória de símbolos. Por exemplo, um arquivo como 1.pdf vai mudar para algo como 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p ou similar. A string atribuída é totalmente aleatória e não tem um propósito real. Junto com as mudanças visuais, Keq4p fecha seu processo de criptografia com a criação de zB6F_HOW_TO_DECRYPT.txt, um arquivo de texto contendo instruções de resgate. Você pode dar uma olhada no que ele contém na captura de tela a seguir.

Hydra é uma infecção de ransomware que torna os dados dos usuários inacessíveis ao executar uma criptografia completa. Além de não conseguir acessar os dados, os usuários também podem detectar algumas alterações visuais. Hydra atribui uma nova sequência de símbolos contendo endereços de e-mail de criminosos cibernéticos, ID gerado aleatoriamente atribuído a cada vítima, e o .HIDRA extensão no final. Para ilustrar, um arquivo como 1.pdf mudará sua aparência para [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA e redefinir o ícone original em branco. Assim que todos os arquivos terminam criptografados, o vírus promove instruções de resgate para orientar as vítimas durante o processo de recuperação. Isso pode ser encontrado dentro de # FILESENCRYPTED.txt nota de texto, que é criada após a criptografia. Os desenvolvedores do Hydra dizem que as vítimas podem restaurar seus arquivos escrevendo para o endereço de e-mail anexado (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com) Depois disso, os cibercriminosos devem dar mais instruções para comprar a descriptografia de arquivos.

DeltaPlus é um vírus do tipo ransomware que usa algoritmos criptográficos para criptografar dados pessoais. Ele atribui criptografias fortes que são difíceis de decodificar sem ferramentas especiais de descriptografia mantidas pelos próprios cibercriminosos. Para comprar essas ferramentas, as vítimas devem enviar o equivalente a 6,000 dólares em BTC para um endereço criptográfico. O preço da descriptografia também pode ser reduzido para 3,000 dólares se você conseguir concluir o pagamento nas primeiras 72 horas após a infecção. Todas essas informações são divulgadas dentro da nota de texto chamada Ajude a restaurar seus arquivos.txt, que é criado assim que a criptografia dos arquivos é feita. Delta Plus anexa o .delta extensão para todos os arquivos afetados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.delta e perder seu ícone original. Após essas mudanças, os usuários não poderão mais acessar seus arquivos até que paguem o resgate exigido.

Descoberto por Tomas Meskauskas, o Koxic é considerado uma infecção de ransomware que opera criptografando dados armazenados no PC. Em outras palavras, a maioria dos arquivos, como fotos, vídeos, músicas e documentos, será bloqueada pelo vírus para impedir que os usuários os acessem. Todos os arquivos criptografados também são novos .KOXICO or .KOXIC_PLCAW extensões. Isso significa arquivos criptografados como 1.pdf mudará para 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. O mesmo padrão será aplicado aos dados residuais criptografados por ransomware. Depois de fazer as coisas com criptografia, o vírus cria uma nota de texto que explica as instruções de resgate. Estas instruções afirmam que as vítimas devem entrar em contato com os desenvolvedores via koxic@cock.li or koxic@protonmail.com e-mails com sua identificação pessoal. Essa identificação pode ser encontrada anexada à nota de resgate. Se isso não for visível, há uma chance de que alguma versão do Koxic Ransomware que se infiltrou em seu sistema ainda esteja em desenvolvimento e sendo testada.