Ransomware

Pagar é um programa de ransomware que infecta sistemas Windows para criptografar dados pessoais. Afeta a configuração dos arquivos armazenados tornando-os totalmente inacessíveis. Isso significa que qualquer tentativa de abrir os arquivos será negada devido à criptografia. Além das mudanças de configuração, o Pagar Ransomware também altera os dados por meios visuais - atribuindo o .pagar40br @ gmail.com extensão para cada arquivo sob criptografia. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.pagar40br@gmail.com e redefinir seu ícone original para branco. Depois que todos os arquivos terminam criptografados, Pagar cria uma nota de resgate chamada Aviso Urgente.txt, que explica como recuperar os dados. Os desenvolvedores de ransomware estão sendo concisos e dizem que você tem 72 horas para enviar 0.035 BTC para a carteira anexada. Logo após a conclusão do pagamento, as vítimas devem entrar em contato com os desenvolvedores através de pagar40br@gmail.com, anexando seu próprio endereço de carteira e ID exclusivo (escrito na nota). Infelizmente, não há nenhuma informação sobre se os desenvolvedores do Pagar são confiáveis.

Chaos é uma família de ransomware popular que espalha várias versões de malware. Após a infecção, a maioria dos arquivos armazenados em um sistema são reajustados e não podem mais ser acessados. Isso é feito por cibercriminosos para extorquir o chamado resgate das vítimas em troca de desbloqueio de dados. No momento, existem 4 versões mais populares propagadas pelo Chaos - Axiom, Teddy, Encrypted e AstraLocker Ransomware. Todos os 4 atribuem seu próprio ramal enquanto bloqueiam o acesso aos dados. Por exemplo, um arquivo como 1.pdf pode mudar para 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedou 1.pdf.astralocker dependendo de qual versão atacou sua rede. Inicialmente, Chaos costumava ser chamado Ryuk .Net Ransomware, mas depois foi atualizado e começou a proliferar com o novo nome. Além disso, o Ryuk.Net apenas imitou a criptografia com algoritmos AES + RSA, mas na verdade usou a codificação Base64 para danificar a estrutura dos arquivos. Não excluído, o mesmo pode ser enfrentado em versões mais recentes também. Também é possível ver uma versão do Chaos acrescentando uma sequência de caracteres aleatórios a arquivos criptografados - como 1.pdf.us00, 1.pdf.wf1d, e assim por diante. Assim que a criptografia (ou criptografia falsa) chega ao fim, o vírus cria uma nota de texto com instruções sobre como recuperar seus dados. Aqui estão os nomes, bem como o conteúdo de cada nota de texto criada por diferentes versões (README.txt, read_it.txt, Read_me_now.txt.

o Tohnich significa um programa de ransomware que altera as extensões dos arquivos, tornando-os todos criptografados. .tohnichi é o nome da nova extensão atribuída a cada parte comprometida. Isso significa que todos os arquivos criptografados aparecerão assim 1.pdf.tohnichi no final do processo. A última peça do quebra-cabeça trazida por Tohnichi é Como descriptografar arquivos.txt, o arquivo de texto criado por malware para explicar as instruções de descriptografia. Em primeiro lugar, afirma-se que sua rede foi hackeada, o que permitiu que extorsionários criptografassem seus dados. Então, os cibercriminosos dizem que são as únicas figuras capazes de realizar a descriptografia segura e completa dos dados. Para isso, as vítimas são solicitadas a estabelecer comunicação usando o link do navegador Tor e pagar pelo software de descriptografia. O preço é mantido em segredo e depende da rapidez com que você entra em contato com os desenvolvedores. Depois de concluir o pagamento, os desenvolvedores prometem enviar uma ferramenta de descriptografia exclusiva para recuperar os dados. Além disso, os desenvolvedores de ransomware dizem que podem descriptografar vários arquivos (que não contêm informações valiosas) antes de pagar o resgate gratuitamente. Esta é uma boa oferta, de fato, mas ainda insuficiente para confiar nos criminosos cibernéticos individualmente.

Zeppelin foi descoberto por GrujaRS, que é uma peça maliciosa que infecta computadores e criptografa os dados do usuário. Programas desse tipo são normalmente projetados para ganhar dinheiro com usuários desesperados que tiveram seus arquivos bloqueados. Como de costume, com a criptografia, vem uma mudança significativa na extensão do arquivo - ele os renomeia usando o sistema de numeração hexadecimal para algo assim 1.mp4.126-A9A-0E9. Na verdade, a extensão pode variar por símbolos, pois o vírus pode gerar valores aleatórios. Assim que a criptografia for concluída, o Zepellin cria um arquivo de texto chamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT em seu desktop. Nesta nota, extorsores ofendem você com abuso de resgate, ligando para contatá-los e comprar uma chave específica. Infelizmente, não existe um método comprovado que possa descriptografar seus dados gratuitamente neste momento. A única maneira de fazer isso é seguir as instruções, o que é um grande risco. Embora a decisão recaia sobre seus ombros, recomendamos que você exclua o Zeppelin Ransomware no guia abaixo.

MOSN é classificado como uma infecção de ransomware que exige dinheiro das vítimas após criptografar os dados. Normalmente, essas infecções atingem todos os arquivos potencialmente importantes, como fotos, vídeos, documentos, bancos de dados e muito mais, que possuem algum valor para as vítimas. A criptografia pode ser detectada por novas extensões atribuídas a cada parte comprometida. Por exemplo, um arquivo chamado 1.pdf mudará para 1.pdf.MOSN no final da criptografia. O mesmo será visto com outros dados de acordo com este padrão. Então, logo depois disso, o MOSN instala novos papéis de parede estendidos por toda a tela que exibe um breve resumo do resgate. Afirma que as vítimas devem entrar em contato com os desenvolvedores via walter1964@mail2tor.com endereço de e-mail e pague 300 $ em Bitcoin para resgate de dados. Além disso, MOSN Ransomware cria um arquivo de texto chamado INFORMAÇÕES_READ_ME.txt isso explica o mesmo, mas também menciona o número de arquivos criptografados e a identificação exclusiva que deve ser anexada ao entrar em contato com extorsionários.

Divindade, Matafaka e Army são três infecções de ransomware lançadas pelo grupo de desenvolvimento conhecido como Xorist. Depois que o sistema é infectado com êxito, um vírus força a maioria dos arquivos armazenados a alterar seus nomes. Dependendo de qual versão atacou seu PC, qualquer imagem, vídeo, música ou arquivo de documento como 1.pdf mudará para 1.pdf.divinity, 1.pdf.matafakaou 1.pdf.army. Depois que cada arquivo acaba sendo alterado visualmente, as versões mencionadas acima exibem uma mensagem de texto em janelas pop-up ou arquivos de bloco de notas (HOW TO DECRYPT FILES.txt) O texto difere para cada versão. Para ilustrar, Matafaka e Exército mostram quase nenhuma informação sobre a descriptografia de dados. Eles mencionam que seu PC foi hackeado, mas não fornecem nenhuma informação ou instruções de pagamento para restaurar os dados. A razão para isso pode ser que essas versões ainda estão em desenvolvimento e testes. Não está excluído que existam versões completas com instruções completas já circulando pela web. Divinity é a única versão da lista com detalhes de contato para pagar o resgate. Para isso, os usuários devem escrever uma mensagem direta para @lulzed Telegram ou @dissimilate no Twitter. Observe que a família Xorist Ransomware usa algoritmos XOR e TEA para criptografar dados pessoais. Os dados criptografados por essas cifras têm menor probabilidade de serem descriptografados sem o envolvimento de criminosos cibernéticos. Apesar disso, é expressamente desaconselhada ao atendimento de demandas de cifras fraudulentas.

Herrco é classificado como um programa de ransomware malicioso. O malware desse tipo procura dados importantes armazenados em um PC e bloqueia o acesso a eles usando algoritmos criptográficos. O principal alvo dos desenvolvedores Herrco gira em torno de proprietários de empresas que ganham dinheiro supostamente suficiente para pagar pela descriptografia de arquivos. Os extorsionários por trás do Herrco Ransomware configuram seu software para alterar todos os dados relevantes com o .herrco extensão. Por exemplo, um arquivo chamado 1.pdf mudará sua aparência para 1.pdf.herrco no final da criptografia. Essa mudança é, portanto, seguida pela criação de Como descriptografar arquivos.txt. Este é um arquivo de texto destinado a explicar a descriptografia em detalhes. Diz-se que a única maneira de recuperar seus dados na rede infectada é entrar em contato com os desenvolvedores e pagar o chamado resgate. O preço é mantido em segredo e depende da rapidez com que você entra em contato com os cibercriminosos. Para iniciar a conversa com os cibercriminosos, as vítimas são solicitadas a abrir o link do Tor e preencher sua identificação pessoal, que está indicada na parte superior da nota de resgate. Antes de fazer isso, também é proposto o envio de alguns arquivos que não contêm informações valiosas para a descriptografia gratuita.

Keversen é um vírus do tipo ransomware que tem como alvo a criptografia forte de dados. O objetivo é fazer com que as vítimas paguem o chamado resgate para descriptografar os arquivos bloqueados. Todas as instruções sobre o processo de recuperação são reveladas depois que seus arquivos são criptografados. O vírus Keversen renomeia uma ampla gama de dados pessoais (fotos, vídeos, documentos, bancos de dados, etc.) com o .keversen extensão. Para ilustrar, um arquivo como 1.pdf mudará para 1.pdf.keversen logo após a criptografia. Tudo isso acontece em um piscar de olhos, então não há como evitá-lo, a menos que você tenha um programa anti-ransomware especial instalado. Então, logo após esse estágio de infecção chegar ao fim, o Keversen Ransomware passa a criar o ! = READMY = !. txt nota, que lança algumas palavras sobre como recuperar seus dados.