Ransomware

Uma nova infecção de ransomware conhecida como DEcovid19 chegou à web e causou muitos ataques a PCs desprotegidos. O vírus foi relatado em 11 de janeiro por vítimas desesperadas com dados criptografados. Com base nas informações atuais, é claro que DEcovid19 bloqueia o acesso aos dados alterando as extensões dos arquivos para .COVID-19 or .bloqueado. Um exemplo do original 1.mp4 impactado por ransomware pode aparecer de duas maneiras: ou como 1.mp4.locked or 1.mp4.covid19. Assim que o processo de criptografia chega ao fim, o programa malicioso cria uma nota de texto (! DECRYPT_FILES.txt or ATENÇÃO !!!. Txt) destinada a explicar as instruções de descriptografia. Lá dentro, os usuários podem dar uma olhada rápida nas informações sobre vírus. A próxima parte do texto é dedicada à restauração de seus dados. Os usuários devem entrar em contato com o bot de telegrama anexando uma ID pessoal na linha de assunto e escrevendo quantos PCs precisam ser descriptografados. Também é necessário enviar 1-2 arquivos criptografados que não contenham informações importantes (menos de 2 MB) para que os cibercriminosos possam encontrar o decodificador certo para seus dados. O último, mas não menos dito pelos vigaristas, são os limites de tempo - você tem 72 horas para tomar uma decisão e pagar pela chave de descriptografia.

Fair Ransomware é uma das muitas peças perigosas que criptografam tipos de dados pessoais. Pertence à família de malware conhecida como Makop, que desenvolveu uma série de infecções semelhantes. Uma vez que Fair Ransomware ataca seu sistema, ele instala certos scripts, que bloqueiam o acesso a vários arquivos atribuindo extensões exclusivas. Essas extensões consistem em um número de identificação pessoal, sufixo [fairexchange@qq.com] e .fair no final de cada arquivo. Um exemplo da amostra original que experimentou essas mudanças se parece com este 1.mp4.[9B83AE23].[fairexchange@qq.com].fair. Embora o acesso aos dados não esteja mais nas mãos dos usuários, extorsionários criam um arquivo de texto chamado readme-warning.txt em cada pasta que contém arquivos criptografados. Dentro desta nota, os cibercriminosos explicam brevemente a pessoas confusas o que aconteceu com seus PCs. Então, os criadores do Fair Ransomware dizem que é necessário comprar o software de descriptografia (em BTC) para recuperar o controle sobre os dados. Eles também se oferecem para participar da chamada "verificação de garantia", permitindo aos usuários descriptografar 2 arquivos de tamanho limitado gratuitamente. Infelizmente, embora tais truques devam justificar a integridade dos vigaristas, as estatísticas dizem o contrário.

Também conhecido como WickrMe, Hello Ransomware é um vírus perigoso que criptografa dados pessoais (fotos, vídeos, documentos, etc.). Assim como outras infecções desse tipo, ele também exige o pagamento de uma taxa após a criptografia. No entanto, antes disso, o Hello Ransomware altera seus arquivos com o novo .hello extensão. Nenhum símbolo extra é incluído, então seus arquivos ficarão assim 1.mp4.hello e da mesma forma. Então, uma vez que essas mudanças terminam, o vírus cria uma nota de texto (Readme!!!.txt) contendo instruções de resgate. Neste documento, os usuários são instruídos a entrar em contato com criminosos cibernéticos por meio de e-mails anexados ou do Wickr Me (um mensageiro particular). Portanto, eles receberão uma lista de etapas para realizar o pagamento e recuperar os dados comprometidos. Infelizmente, embora os desenvolvedores de ransomware sejam geralmente as únicas figuras capazes de descriptografar seus dados, não recomendamos implementar o pagamento exigido. Caso contrário, pode parecer um desperdício de dinheiro, pois não há garantia de que você receberá a descriptografia prometida. Estatisticamente, os extorsionários ignoram os usuários mesmo depois de concluir todas as etapas. Portanto, é necessário excluir o Hello Ransomware do seu computador para evitar mais descriptografia de dados.

Dharma é uma família de ransomware considerada a maior desenvolvedora de infecções por ransomware. Muitas versões foram encontradas atacando usuários com criptografia de dados e mensagens de pedido de resgate. No entanto, uma das versões recentes detectadas sendo ativas é conhecida como yoAD Ransomware. Assim como vírus semelhantes deste tipo, ele atribui o novo .yoAD extensão com ID aleatório e e-mail dos cibercriminosos para cada parte dos dados armazenados em um PC comprometido. Por exemplo, o arquivo original como 1.mp4 vai dar uma olhada em 1.mp4.id-C279F237.[yourfiles1@cock.li].yoAD, ou de forma semelhante. Essas alterações fazem com que seus arquivos não sejam mais acessíveis, pois qualquer tentativa de iniciá-los será negada. Então, quando esse processo chega ao fim, o vírus entra em ação com a criação de instruções em texto. Eles são apresentados no FILES ENCRYPTED.txt documento direto na sua área de trabalho. Como afirmam os extorsionários, a única maneira de restaurar seus dados é contatando-os por e-mail. Então, eles supostamente darão a você uma cripto-carteira para enviar dinheiro em Bitcoin. Depois disso, você receberá as ferramentas necessárias para restaurar seus dados. Infelizmente, esse método não se aplica a todos porque os valores solicitados pelos cibercriminosos podem ser astronomicamente altos e difíceis de pagar.

Cripto-Locker Mijnal é uma infecção do tipo ransomware que codifica dados pessoais com algoritmos AES + RSA. A aplicação de tal significa que a cifra atribuída é difícil de quebrar usando métodos tradicionais. Em outras palavras, ele garante que a descriptografia manual não ocorra após o bloqueio dos dados. Infelizmente, na maioria dos casos, parece realmente impossível, mas você deve tentar depois de ler este texto. Assim como outras infecções, o Mijnal criptografa seus dados alterando uma extensão de arquivo para .mijnal. Por exemplo, uma amostra como "1.mp4" será alterada para "1.mp4.mijnal" e redefinirá seu ícone original. Depois que o processo de criptografia chega ao fim, o vírus cria uma nota de texto chamada "README_LOCK.txt" que contém instruções de resgate. As informações apresentadas aqui são escritas em russo, o que significa que os desenvolvedores se concentram principalmente nas regiões CIS. No entanto, existem alguns usuários em inglês que também podem ser afetados por ele. Se você estiver disposto a descriptografar seus dados o mais rápido possível, os cibercriminosos pedem às vítimas para abrir o link em anexo por meio do navegador Tor e seguir as instruções ali. Então, é mais provável que os extorsionários peçam que você pague uma certa quantia em Bitcoin para ter acesso aos seus dados. Apesar de pagar o resgate ser geralmente o único método para superar a criptografia de dados, não recomendamos atender a quaisquer solicitações, pois pode ser perigoso para o seu bolso e também para a privacidade.

Leitkcad é um exemplo puro de malware criptográfico que executa criptografia em dados pessoais para obter o chamado resgate. Os sintomas mais vívidos que sugerem a presença do Leitkcad é a atribuição de .leitkcad extensão. Em outras palavras, ele será visto no final de cada arquivo afetado pelo malware. Por exemplo, um arquivo como 1.mp4 será alterado para 1.mp4.leitkcad e redefinir seu ícone original. Então, uma vez que todos os arquivos são alterados, o vírus passa para a próxima fase criando uma nota chamada help-leitkcad.txt. Ele contém informações sobre a criptografia, bem como instruções para restaurar seus dados. Os cibercriminosos dizem que você deve entrar em contato com uma operadora e preencher sua ID, chave pessoal e e-mail por meio da página de chat. O link para ele só pode ser aberto usando o navegador Tor, que deve ser baixado pelas vítimas. Então, após estabelecer contato com os cibercriminosos, você receberá mais instruções sobre como comprar o software de descriptografia. Além disso, é importante notar que reiniciar e alterar arquivos criptografados pode levar à perda permanente. Os extorsionários definem certos algoritmos que os ajudam a detectar sua atividade. Isso significa que se você se recusar a cumprir qualquer um dos avisos acima, seus arquivos serão excluídos momentaneamente.

Um novo criptovírus conhecido como LúciferCripta entrou no jogo há alguns dias para criptografar dados pessoais. Enquanto o estudo prossegue, já é evidente que este ransomware restringe o acesso aos dados atribuindo uma extensão de cadeia longa (.id=[].email=[].LuciferCrypt) Uma ilustração rápida de uma amostra infectada ficaria assim 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Depois que o processo de criptografia é concluído, o vírus continua sua presença criando um arquivo de texto chamado Como recuperar arquivos.txt. Neste documento, extorsionários notificam as vítimas sobre a criptografia bem-sucedida. Para revertê-lo, as vítimas devem entrar em contato com os criminosos cibernéticos por e-mail e pagar uma taxa para recuperar os arquivos. Feito isso, seus dados serão descriptografados automaticamente, sem envolver qualquer manipulação. Também é dito que o preço depende diretamente da rapidez com que você responde aos vigaristas. Antes de fazer isso, você também pode tirar proveito da descriptografia gratuita. Os desenvolvedores oferecem o envio de até 3 arquivos (menos de 4 MB e não arquivados), que não devem conter informações valiosas.

Depois de Bomba Ransomware ataca seu sistema, todos os dados ficam encadeados por algoritmos fortes que restringem o acesso a ele. O malware anexa .bomba extensão para os arquivos que ele codifica. Por exemplo, um arquivo como 1.mp4 irá adquirir um novo visual de 1.mp4.pump e redefinir seu ícone original. A extensão aplicada no final significa que seus arquivos estão criptografados. Essas modificações são geralmente acompanhadas pela criação de instruções de resgate. No nosso caso, o vírus deixa cair um arquivo de texto chamado README.txt que o ajudará a recuperar os arquivos. O conteúdo apresentado é curto, os cibercriminosos apenas anexaram seus endereços de e-mail para chamar as vítimas para contatá-los. Em seguida, eles supostamente fornecerão mais instruções sobre como comprar o software de descriptografia. Não importa o quanto vá o preço, atender aos pedidos dos vigaristas é arriscado - eles podem se tornar tolos em suas promessas e não deixar ferramentas para você mesmo depois de fazer um pagamento.