Ransomware

Um novo criptovírus conhecido como LúciferCripta entrou no jogo há alguns dias para criptografar dados pessoais. Enquanto o estudo prossegue, já é evidente que este ransomware restringe o acesso aos dados atribuindo uma extensão de cadeia longa (.id=[].email=[].LuciferCrypt) Uma ilustração rápida de uma amostra infectada ficaria assim 1.id=0ED53ADA.email=cracker.irnencrypt@aol.com.LuciferCrypt.mp4. Depois que o processo de criptografia é concluído, o vírus continua sua presença criando um arquivo de texto chamado Como recuperar arquivos.txt. Neste documento, extorsionários notificam as vítimas sobre a criptografia bem-sucedida. Para revertê-lo, as vítimas devem entrar em contato com os criminosos cibernéticos por e-mail e pagar uma taxa para recuperar os arquivos. Feito isso, seus dados serão descriptografados automaticamente, sem envolver qualquer manipulação. Também é dito que o preço depende diretamente da rapidez com que você responde aos vigaristas. Antes de fazer isso, você também pode tirar proveito da descriptografia gratuita. Os desenvolvedores oferecem o envio de até 3 arquivos (menos de 4 MB e não arquivados), que não devem conter informações valiosas.

Depois de Bomba Ransomware ataca seu sistema, todos os dados ficam encadeados por algoritmos fortes que restringem o acesso a ele. O malware anexa .bomba extensão para os arquivos que ele codifica. Por exemplo, um arquivo como 1.mp4 irá adquirir um novo visual de 1.mp4.pump e redefinir seu ícone original. A extensão aplicada no final significa que seus arquivos estão criptografados. Essas modificações são geralmente acompanhadas pela criação de instruções de resgate. No nosso caso, o vírus deixa cair um arquivo de texto chamado README.txt que o ajudará a recuperar os arquivos. O conteúdo apresentado é curto, os cibercriminosos apenas anexaram seus endereços de e-mail para chamar as vítimas para contatá-los. Em seguida, eles supostamente fornecerão mais instruções sobre como comprar o software de descriptografia. Não importa o quanto vá o preço, atender aos pedidos dos vigaristas é arriscado - eles podem se tornar tolos em suas promessas e não deixar ferramentas para você mesmo depois de fazer um pagamento.

MARTE Ransomware é um programa malicioso descoberto por Michael Gillespie. A maneira como ele criptografa arquivos é muito semelhante a outras infecções desse tipo - anexando o novo .marte or .vyb extensão para destacar os dados afetados. As vítimas verão seus arquivos se transformarem em algo assim 1.mp4.mars or 1.mp4.vyb. Como resultado dessas ações, os arquivos não podem ser abertos ou manipulados pelos usuários de nenhuma forma. Para consertar e recuperar seus dados, os cibercriminosos se oferecem para ler as instruções em uma nota de texto (!!! MARS_DECRYPT.TXT) criado após a criptografia. Ele informa que vários tipos de dados armazenados em seu PC foram criptografados com o vírus. Para revertê-lo, as pessoas têm que pagar 500 $ em BTC pela chave de descriptografia. Antes de fazer isso, os extorsionários insistem fortemente em enviar até 3 arquivos para descriptografia gratuita para garantir sua confiabilidade. Depois disso, a equipe de cibercriminosos responderá com o link de pagamento para a compra do software. Você também pode entrar em contato com os desenvolvedores via Telegram e comprar a chave imediatamente, sem testar a descriptografia gratuita. Embora esses recursos fornecidos por vigaristas possam inspirar confiança em suas intenções, é recomendável não concordar com o que eles dizem, porque não há garantia real de que eles retornarão seus dados seguros e sem danos.

Engenharia de Arquivos é um exemplo de infecção de ransomware que configura arquivos de vítimas para restringir o acesso a eles. Na maioria das vezes, os usuários não detectam malware entrando nos sistemas. Era uma vez, eles acabaram vendo seus dados alterados e bloqueados do acesso regular. A FileEngineering faz isso dessa maneira - atribuindo a identificação das vítimas, o endereço de e-mail do cibercriminoso e . criptografado extensão no dos arquivos. Existem duas versões do FileEngineering espalhadas pela web. A única diferença é usar diferentes endereços de e-mail para contatar vigaristas. Por exemplo, você pode ver seus dados aparecerem como 1.mp4.id=[BE38B416] Email=[FileEngineering@mailfence.com].encrypted or id=[654995FE] Email=[FileEngineering@rape.lol].encrypted dependendo de qual versão afetou seu PC. Então, a próxima etapa da atividade de FileEngineering é criar uma nota chamada Obtenha seus arquivos de volta! .Txt que contém informações sobre a descriptografia. Nele, as informações são tratadas por um chamado engenheiro de segurança. Ele diz que você deve contatá-lo por e-mail e pagar uma certa quantia em Bitcoin. Em seguida, ele retornará seus arquivos descriptografados e dará algumas dicas para melhorar sua segurança. Antes disso, você também pode enviar um pequeno arquivo para provar que ele pode desbloquear seus dados. Confiar nos cibercriminosos é sempre um grande risco, portanto, você decide se deseja ou não. Se os arquivos não forem de grande valor para você, você pode simplesmente excluir a FileEngineering e continuar usando o PC.

Espreguiçadeiras or SunCryptName é classificado como sistemas de ataque de criptovírus para criptografar dados pessoais. Ele começou sua jornada em outubro de 2019 e continua sua presença infectando usuários até hoje. O momento em que o SunCrypt pode ser detectado em seu PC é quando ele altera seus arquivos adicionando o .sun extensão. Também foi ouvido sobre outra versão do SunCrypt que aplica uma sequência de símbolos aleatórios em vez de extensões. Uma mudança para algo assim 1.mp4.sun or 1.mp4.G4D3519X58293C283957013M35DC8A2V0748D9845E7A5DBD6590E3F834C4638 significa que você não tem mais permissão para acessar seus dados. Para recuperá-lo de volta, SunCrypt cria notas de texto (DECRYPT_INFORMATION.html or SEUS_FILES_ARE_ENCRYPTED.HTML) que contêm instruções de resgate. Embora o SunCrypt seja voltado principalmente para usuários que falam inglês, você também tem a possibilidade de alternar entre alemão, francês e espanhol. Isso aumenta muito o tráfego de vítimas, permitindo que os desenvolvedores ampliem seus negócios. Conforme declarado na nota, as vítimas devem instalar o navegador Tor e clicar em "Vá para o nosso site" para comprar o software de descriptografia. A taxa exigida pode variar de acordo com o caso individual, no entanto, não importa quão baixa ou alta seja, não recomendamos correr esse risco.

Dharma-259 See More é uma infecção do tipo ransomware pertencente à família Dharma. Este grupo de desenvolvedores trouxe o maior impacto para a indústria de malware. Tendo uma variedade de programas maliciosos, 259 complementa a lista e criptografa dados pessoais com algoritmos fortes que impedem o acesso regular dos usuários. Como resultado, todos os dados mudam seu nome com uma sequência de dígitos, incluindo ID pessoal, e-mail do cibercriminoso e .259 extensão no final de cada arquivo. Por exemplo, comum 1.mp4 vai experimentar uma mudança para algo assim 1.mp4.id-C279F237.[259461356@qq.com].259 e redefinir seu ícone padrão. Então, assim que o processo de criptografia chega ao fim, o vírus abre uma janela pop-up e cria uma nota de texto chamada FILES ENCRYPTED.txt, ambos contendo informações sobre a recuperação de dados. Conforme declarado no pop-up e na nota, as vítimas devem entrar em contato com os vigaristas por e-mail, anexando uma identificação pessoal. Além disso, você tem permissão para enviar até 1 arquivo (menos de 1 MB) para descriptografia gratuita. Então, assim que os extorsionários receberem sua mensagem, você será guiado com etapas sobre como comprar um software de descriptografia. Às vezes, a taxa exigida pode disparar além dos limites, tornando-se inacessível para a maioria dos usuários. Mesmo se você estiver pronto para enriquecer os cibercriminosos que compram seus softwares, recomendamos que você não faça isso, porque a maioria dos usuários relata um alto risco de ser enganado e não obtém nenhuma ferramenta para restaurar os dados.

Desenvolvido por um grupo de extorsionários turcos, SifreCikis é uma infecção de ransomware que criptografa dados pessoais e exige uma taxa de recuperação. Ele cria uma criptografia forte em dados confidenciais usando algoritmos AES e RSA. Como resultado, a descriptografia de arquivos se torna difícil de realizar, mesmo com ferramentas de terceiros. Todos os dados criptografados pelo SifreCikis obtêm uma nova extensão com base nestes padrões: . {sequência alfanumérica aleatória}. Por exemplo, um arquivo como 1.txt vai mudar para algo assim 1.txt.E02F4934FC5A. Então, depois que a criptografia é feita, os usuários encontram uma nota chamada ***N / D*** que contém instruções de resgate. Infelizmente, o conteúdo da nota é difícil de conceber para falantes não nativos; no entanto, um grupo de pesquisadores o traduziu e esboçou algumas informações importantes. Ele afirma que você deve entrar em contato com os cibercriminosos por e-mail e anexar sua identificação pessoal no tópico da mensagem. Em seguida, você receberá mais instruções para comprar o software de descriptografia ($ 500 em BTC). Se não houver resposta dos extorsionários, você deve ler as informações por meio do link no navegador Tor. Os pesquisadores de malware identificaram o nome de domínio começando com sifrecikx, que é consoante com sifre cikis (que significa "cifra / senha + saída" em turco). Além disso, durante a investigação os pesquisadores definiram que SifreCikis poderia ser um irmão de SifreCozucu, pois é muito semelhante, com pequenas diferenças.

Tripoli classificado como uma infecção de ransomware que visa causar a criptografia de dados pessoais. Normalmente, o alvo principal são fotos, vídeos, documentos e outros arquivos que podem armazenar dados confidenciais. Depois que esse vírus atacar seu sistema, todos os arquivos serão afetados pelo .criptografado extensão. Algumas vítimas relataram essa extensão como .trípoli também existe, o que significa que existem duas versões do Tripoli Ransomware. Na verdade, importa qual deles penetrou no seu PC, pois a forma como funcionam é quase a mesma. Como resultado da criptografia, todos os arquivos não terão acesso regular, os usuários não poderão mais abri-los ou alterá-los. Para consertar isso, extorsionários estão se oferecendo para executar as etapas listadas em uma nota de texto (HOW_FIX_FILES.htm) As etapas obrigam as vítimas a instalar o navegador Tor e comprar o software de descriptografia seguindo o endereço anexado. A decisão de efetuar o pagamento deve ser feita em até 10 dias. Insistimos contra ações fraudulentas, pois não há garantia de que eles enviarão as ferramentas prometidas. A melhor maneira é excluir Tripoli Ransomware e restaurar os arquivos perdidos de um backup externo (armazenamento USB). Se você não tiver um, tente usar a diretriz abaixo para acessar seus dados.