Ransomware

DeltaPlus é um vírus do tipo ransomware que usa algoritmos criptográficos para criptografar dados pessoais. Ele atribui criptografias fortes que são difíceis de decodificar sem ferramentas especiais de descriptografia mantidas pelos próprios cibercriminosos. Para comprar essas ferramentas, as vítimas devem enviar o equivalente a 6,000 dólares em BTC para um endereço criptográfico. O preço da descriptografia também pode ser reduzido para 3,000 dólares se você conseguir concluir o pagamento nas primeiras 72 horas após a infecção. Todas essas informações são divulgadas dentro da nota de texto chamada Ajude a restaurar seus arquivos.txt, que é criado assim que a criptografia dos arquivos é feita. Delta Plus anexa o .delta extensão para todos os arquivos afetados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.delta e perder seu ícone original. Após essas mudanças, os usuários não poderão mais acessar seus arquivos até que paguem o resgate exigido.

Descoberto por Tomas Meskauskas, o Koxic é considerado uma infecção de ransomware que opera criptografando dados armazenados no PC. Em outras palavras, a maioria dos arquivos, como fotos, vídeos, músicas e documentos, será bloqueada pelo vírus para impedir que os usuários os acessem. Todos os arquivos criptografados também são novos .KOXICO or .KOXIC_PLCAW extensões. Isso significa arquivos criptografados como 1.pdf mudará para 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. O mesmo padrão será aplicado aos dados residuais criptografados por ransomware. Depois de fazer as coisas com criptografia, o vírus cria uma nota de texto que explica as instruções de resgate. Estas instruções afirmam que as vítimas devem entrar em contato com os desenvolvedores via koxic@cock.li or koxic@protonmail.com e-mails com sua identificação pessoal. Essa identificação pode ser encontrada anexada à nota de resgate. Se isso não for visível, há uma chance de que alguma versão do Koxic Ransomware que se infiltrou em seu sistema ainda esteja em desenvolvimento e sendo testada.

Pornô é classificado como uma infecção de ransomware que visa a criptografia de dados pessoais. Arquivos como fotos, documentos, músicas e vídeos provavelmente estão sob o escopo da criptografia do Porn Ransomware. Para diferenciar os arquivos criptografados dos regulares, os desenvolvedores atribuem o .pornô extensão para cada amostra comprometida. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.porn e redefinir seu ícone original. Depois disso, o vírus começa a exigir o chamado resgate para recuperar seus dados. Essas informações podem ser vistas em uma janela pop-up ou nota de texto chamada RECUPERAR __. Porn.txt. Dentro dessa nota e janela pop-up, os cibercriminosos exibem o número de arquivos que eles descriptografaram. Para apagar as cifras atribuídas, os desenvolvedores do Porn pedem que as vítimas enviem 1 BTC para o endereço criptográfico anexado e enviem-lhes um e-mail com o ID da transação posteriormente. Infelizmente, poucas vítimas podem pagar o preço de 1 BTC (42,000 USD).

BlackByteGenericName é o nome de um armário de dados que criptografa arquivos armazenados em um dispositivo. Esse tipo de malware é mais conhecido como ransomware porque extorquia dinheiro das vítimas para a recuperação de dados. Mesmo que o BlackByte seja novo e pouco conhecido, há detalhes suficientes para diferenciá-lo de outras infecções. Um deles é o .blackbyte extensão que é anexada a cada arquivo criptografado. Por exemplo, uma peça como 1.pdf mudará sua extensão para 1.pdf.blackbyte e redefinir o ícone original. A próxima etapa após criptografar todos os dados disponíveis é a criação da nota de resgate. BlackByte gera o BlackByte_restoremyfiles.hta arquivo, que exibe detalhes de recuperação. No interior, as vítimas são instruídas a contatar os criminosos cibernéticos por e-mail. Esta ação é obrigatória para receber mais instruções sobre como comprar um descriptografador de arquivo. Esse descriptografador é único e mantido apenas por cibercriminosos. O preço do resgate pode variar de pessoa para pessoa, chegando a centenas de dólares. Lembre-se de que pagar o resgate é sempre um risco de perder seu dinheiro à toa. Muitos extorsionários tendem a enganar suas vítimas e não enviar nenhum instrumento de descriptografia, mesmo depois de receber o dinheiro solicitado. Infelizmente, não há decodificadores de terceiros que podem garantir 100% de descriptografia dos arquivos BlackByte.

Rânion é um grupo de malware que desenvolve e espalha infecções de ransomware. Sua versão recente é chamada de R44s, que criptografa os dados usando algoritmos criptográficos fortes e exige dinheiro para resgatá-los. As vítimas podem detectar que seus arquivos foram criptografados por meios visuais. As primeiras versões do Ranion Ransomware descobertas em Novemver de 2017 usavam .resgate extensão. Agora o vírus atribui a planície .r44s extensão a todas as peças comprometidas. Aqui está um exemplo rápido de como os arquivos ficarão após uma criptografia bem-sucedida - 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44se assim por diante, dependendo do nome do arquivo original. Logo após o término desse processo de criptografia, o R44s cria um arquivo HTML chamado README_TO_DECRYPT_FILES.html.

Descoberto por um pesquisador de malware chamado S!Ri, Artemis pertence à família de ransomware PewPew. As fraudes por trás dessa família espalharam uma série de infecções de alto risco que executam a criptografia de dados. Artemis é a variante mais recente do criptografador de arquivos que corta o acesso à maioria dos dados armazenados usando algoritmos criptográficos multicamadas. Esses algoritmos tornam os dados totalmente criptografados, o que impede que os usuários os abram. Além disso, os arquivos criptografados bloqueados por Artemis também são alterados visualmente. Por exemplo, um arquivo como 1.pdf vai mudar para algo como 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis e redefinir seu ícone original. Esta string consiste na identificação das vítimas, khalate@tutanota.com endereço de e-mail, e .artemis extensão no final. Então, assim que a criptografia chega ao fim, Artemis avisa o info-decrypt.hta para aparecer em toda a tela. Versões recentes do uso de malware ReadMe- [ID da vítima] .txt nome da nota de resgate e uso .final e .999 extensões (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate e 1.pdf.id [ID_da_vítima]. [restauradoisscus@gmail.com] .999).

Bom Dia é um programa malicioso classificado como ransomware. Seu principal objetivo é ganhar dinheiro com as vítimas cujos dados foram criptografados com cifras fortes. Normalmente, as vítimas acabam sabendo da infecção depois que GoodMorning atribui uma nova extensão complexa aos arquivos comprometidos (terminando com .Bom Dia, .BLOQUEADO or .REAL). Por exemplo, 1.pdf e outros arquivos armazenados em um sistema serão alterados para este padrão 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. O ID dentro das extensões será diferente individualmente, pois é exclusivo para cada uma das vítimas. Então, uma vez que todos os arquivos terminam criptografados e visualmente alterados, o vírus cria notas de texto chamadas Bom dia.txt, LeiaIt.txt or ReadMe.txt. Destina-se a explicar instruções mais amplas sobre como recuperar seus dados.

Pagar é um programa de ransomware que infecta sistemas Windows para criptografar dados pessoais. Afeta a configuração dos arquivos armazenados tornando-os totalmente inacessíveis. Isso significa que qualquer tentativa de abrir os arquivos será negada devido à criptografia. Além das mudanças de configuração, o Pagar Ransomware também altera os dados por meios visuais - atribuindo o .pagar40br @ gmail.com extensão para cada arquivo sob criptografia. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.pagar40br@gmail.com e redefinir seu ícone original para branco. Depois que todos os arquivos terminam criptografados, Pagar cria uma nota de resgate chamada Aviso Urgente.txt, que explica como recuperar os dados. Os desenvolvedores de ransomware estão sendo concisos e dizem que você tem 72 horas para enviar 0.035 BTC para a carteira anexada. Logo após a conclusão do pagamento, as vítimas devem entrar em contato com os desenvolvedores através de pagar40br@gmail.com, anexando seu próprio endereço de carteira e ID exclusivo (escrito na nota). Infelizmente, não há nenhuma informação sobre se os desenvolvedores do Pagar são confiáveis.