Ransomware

FLAMINGO é uma peça maliciosa projetada para bloquear o acesso aos dados do usuário executando a criptografia com algoritmos criptográficos. Apesar do ransomware ser relativamente novo, já se sabe que utiliza o .FLAMINGO extensão para criptografar dados. Por exemplo, um arquivo como 1.mp4 mudará para 1.mp4.FLAMINGO após a criptografia bem-sucedida. Depois disso, os usuários recebem etapas de descriptografia localizadas em uma nota de texto chamada #LEIA-ME.txt. De acordo com eles, as vítimas devem enviar um arquivo de teste por e-mail (não mais de 3 MB) para provar os recursos de descriptografia dos cibercriminosos. Em seguida, você receberá uma resposta com instruções para comprar (em BTC) uma ferramenta de descriptografia. Devemos informá-lo de que manipular arquivos, reiniciar ou desligar seu PC pode ser imprevisivelmente perigoso para seus dados. Normalmente, os desenvolvedores de ransomware criam valores especiais que excluem dados completamente se forem detectadas tentativas de alterá-los. Infelizmente, a maneira 100% de recuperar dados criptografados pelo FLAMINGO ainda não foi encontrada. Você só pode desinstalar o vírus para evitar mais criptografia. A descriptografia pode ser possível, mas deve ser testada individualmente.

Sendo desenvolvido pela Phobos Ransomware família, inalar coloca um bloqueio forte nos dados das vítimas, executando criptografia com algoritmos criptográficos. Isso, portanto, restringe qualquer tentativa de recuperar os dados completamente. Depois que o ataque foi cometido, você pode ver seus arquivos mudarem para algo assim 1.mp4.id[C279F237-2275].[unlockfiles2021@cock.li].Acuff, que é uma prova de que seus arquivos foram infectados. Acuff Ransomware usa a identidade da vítima, o e-mail dos cibercriminosos e .Acuff extensão para destacar os dados criptografados. Para ajudar os usuários a restaurar seus dados, os extorsionários se oferecem para seguir as instruções de descriptografia da lista de notas. As informações podem ser encontradas em dois arquivos chamados info.hta e info.txt que são criados após a criptografia. A primeira etapa no caminho da descriptografia é entrar em contato com os criminosos cibernéticos por meio de um endereço de e-mail anexando sua ID gerada pessoalmente (unlockfiles2021@cock.li or decryfiles2021@tutanota.com) Depois disso, os vigaristas responderão com detalhes sobre como comprar um software de descriptografia. Antes de fazer isso, você também pode enviar até 5 arquivos (menos de 4 MB e não arquivados) para descriptografia gratuita. Apesar de essa atividade parecer confiável, recomendamos que você não atenda a quaisquer requisitos definidos por desenvolvedores de malware. Seria um risco pagar uma grande quantia em prol da recuperação de arquivos.

Bondy é uma infecção do tipo ransomware que atinge vários tipos de dados executando criptografia com algoritmos RSA potentes. Geralmente é distribuído em duas versões: primeiro atribui o .bondy extensão enquanto outro usa .conectar para criptografar arquivos de vítimas. Assim, os dados infectados aparecerão como 1.mp4.bondy or 1.mp4.connect dependendo de qual versão atacou seu sistema. A última e mais importante parte da atividade do ransomware é a criação de uma nota de texto (HELP_DECRYPT_YOUR_FILES.txt) para explicar as instruções de descriptografia. Alega-se que seus dados foram criptografados com RSA, um algoritmo criptográfico assimétrico que requer uma chave privada para desbloquear os dados. Essa chave é armazenada no servidor dos cibercriminosos. Ele só pode ser obtido pagando 500 $ em Bitcoin por meio da carteira anexada à nota. Além disso, os extorsionários se oferecem para descriptografar 1 arquivo gratuitamente como prova de que eles são confiáveis. Na verdade, tudo pode acontecer de outra forma - os cibercriminosos irão enganá-lo e não fornecerão nenhuma ferramenta para recuperar seus dados. As estatísticas mostram que isso acontece com muitos usuários que se aventuram a pagar um resgate. Como não existem ferramentas gratuitas que possam desbloquear seus dados, a única e melhor maneira é recuperar os arquivos de um backup externo, se ele foi criado antes do ataque.

Determinado por Karsten Hahn, Gerador de login Netflix é um programa malicioso classificado como ransomware. Inicialmente, é promovido como uma ferramenta para criar uma conta Netflix gratuitamente, sem a compra de uma assinatura. No entanto, em vez disso, o programa inicia a configuração de ransomware que criptografa dados pessoais (com algoritmos AES-256). É uma verdadeira surpresa para usuários inexperientes quando veem seus dados bloqueados e não mais acessíveis. Os dados criptografados podem ser vistos claramente pela nova extensão que é atribuída a cada arquivo. Por exemplo, a amostra original como 1.mp4 terá uma nova aparência de algo como este 1.mp4.se. Então, logo após a criptografia, o vírus solta uma nota chamada Instruções.txt alterar papéis de parede da área de trabalho para o conteúdo incluído na nota gerada. As informações incluídas sugerem as etapas para realizar a descriptografia de dados. Para fazer isso, extorsionários pedem a transação de 100 $ igual ao Bitcoin. Um fato interessante e peculiar é que o Netflix Login Generator pode encerrar automaticamente se o seu sistema não for baseado no Windows 7 ou 10. Seja qual for o caso, se este malware persistir em seu sistema, você deve excluí-lo e recuperar os dados usando um externo cópia dos arquivos.

CURADOR é outra versão de infecções de ransomware que bloqueia os dados das vítimas, exigindo uma taxa pela sua devolução. O sintoma básico do CURATOR deixando seus rastros em seu sistema é o acréscimo de novas extensões aos arquivos afetados. Por exemplo, um arquivo como 1.mp4 vai emergir como 1.mp4.CURATOR depois de interagir com o ransomware. Para recuperar seus dados, extorsionários se oferecem para ler as instruções no ! = HOW_TO_DECRYPT_FILES = !. txt observe que é criado logo após a criptografia. De acordo com a nota fornecida, os invasores criptografaram seus arquivos com algoritmos fortes (ChaCha + AES), que restringem as tentativas de restaurar arquivos por conta própria. Como resultado, parece que a única maneira viável de comprar a chave de descriptografia armazenada no servidor dos cibercriminosos. Depois de tomar uma decisão, os extorsionários pedem gentilmente que você os contate por e-mail para obter mais instruções. Você também pode aproveitar uma oferta especial - envie até 3 arquivos (não mais do que 5 MB) para descriptografia gratuita. Embora tal movimento possa inspirar confiança em usuários crédulos, recomendamos não pagar o resgate. Há sempre o risco de perder dinheiro e não receber nenhuma das ferramentas prometidas para recuperação de dados.

Ser parte da Dharma família, Dharma-BLM é uma peça maliciosa que busca ganho financeiro criptografando dados pessoais. Ele faz isso atribuindo uma sequência de símbolos, incluindo ID exclusivo, e-mail de criminosos cibernéticos e .blm extensão no final de cada arquivo. Aqui está um exemplo de como os dados infectados ficarão 1.mp4.id-C279F237.[blacklivesmatter@qq.com].blm. Quando o processo de criptografia é concluído, o vírus segue para a próxima etapa e cria uma nota de texto (FILES ENCRYPTED.txt) contendo instruções de resgate. A mensagem justifica que todos os dados foram criptografados com sucesso e requer ação dentro de 24 horas - entrar em contato com os cibercriminosos por e-mail e receber detalhes de pagamento para comprar as ferramentas de descriptografia. As vítimas também são avisadas de que qualquer manipulação de arquivos, como alteração de nome, resultará em perda permanente. Além disso, os desenvolvedores propõem que você envie um arquivo para descriptografia gratuita, o que tem sido um truque usado por muitos criadores de ransomware para inspirar confiança em usuários crédulos e fazer um acordo. Infelizmente, na maioria das vezes, a descriptografia de dados sem o envolvimento de desenvolvedores não dará frutos, a menos que o ransomware contenha alguns bugs ou falhas que permitirão que ferramentas de terceiros abram a cifra atribuída.

Bit Ransomware é conhecido como um vírus de criptografia de arquivos, cujo objetivo é bloquear os dados do usuário e mantê-los trancados até que o resgate seja pago. Esse malware ganha muito dinheiro com usuários inexperientes, que não tiveram escolha a não ser pagar uma taxa porque seus dados são criptografados com cifras inquebráveis. Imagine que todos os seus dados pessoais se tornem inacessíveis - é isso que o BitRansomware faz. Ele atribui o novo .Leia-me extensão no final de cada arquivo para destacá-los dos originais. Uma amostra de dados criptografados se parece com isto 1.mp4.readme. Após este processo, os extorsionários exibirão uma nota de texto chamada Leia-me.txt explicando o processo de descriptografia. Diz-se que todos os arquivos importantes foram criptografados com sucesso e que a única maneira possível de implementar a descriptografia completa é pagar uma taxa por meio de um link do Tor anexado na nota. Normalmente, essa é a verdade, porque os arquivos podem ser descriptografados apenas se o ransomware contiver algumas falhas ou bugs que os desenvolvedores não perceberam. Seja qual for o caso, não recomendamos o pagamento de um resgate, porque confiar em extorsionários é uma coisa bastante complicada.

Confinamento é um software de criptografia de arquivos criado para ganhar dinheiro com usuários desprotegidos. O vírus atua usando algoritmos AES + RSA para configurar uma criptografia forte nos dados armazenados e anexos .Confinamento extensão. Muitos tipos de dados serão alterados de acordo com este exemplo 1.mp4.LockDown. Depois de feita a criptografia, o LockDown cria uma nota de texto (HELP_DECRYPT SEUS ARQUIVOS) contendo instruções de resgate. Dizem aos usuários que apenas uma chave privada mantida por cibercriminosos pode levar a uma descriptografia de dados bem-sucedida. Para obtê-lo, as vítimas precisam enviar aproximadamente 460 $ em Bitcoins para a carteira anexada. Embora os extorsionários provem ostensivamente sua integridade permitindo que os usuários descriptografem 1 arquivo gratuitamente, ainda não desaconselhamos o pagamento do resgate, porque existe o risco de que os vigaristas não forneçam ferramentas de recuperação eventualmente. Por enquanto, não existem ferramentas oficiais que possam garantir 100% de descriptografia do arquivo.