Ransomware

De volta a 2016, KeRanger tornou-se o primeiro ransomware que atacou usuários de Mac. A maioria dos usuários ficou estupefata ao perceber que seus dados estão bloqueados porque baixaram um cliente BitTorrent legítimo chamado Transmissão. Naquela época, os cibercriminosos conseguiram hackear seu site e incutir um vírus de criptografia de arquivos em uma nova versão que estava para ser lançada. Portanto, os usuários detectaram inadvertidamente um ataque de malware atualizando o aplicativo instalado anteriormente. Infelizmente, os laboratórios não identificaram a medida apropriada para decifrar os dados infligidos. Em vez disso, as vítimas oferecem uma solução paga que consiste em comprar um programa de descriptografia. A transação deve ser feita através do navegador Tor, pagando 1 BTC (cerca de 407 na época), agora o Bitcoin representa cerca de US $ 5,260. Os extorsionários também afirmam que responderão a qualquer uma de suas perguntas se você estiver realmente motivado a pagar um resgate. Você também pode descriptografar 1 arquivo através da página Tor vinculada na nota. Conforme mencionado, as ferramentas de terceiros atualmente não conseguem decifrar os dados bloqueados.

Embora a maioria dos desenvolvedores de ransomware se concentre em infectar sistemas baseados no Windows, AgeLocker visa Mac e Linux, em vez disso. O ransomware se posiciona como um vírus voltado para negócios que se espalha em empresas corporativas, no entanto, ataques a usuários regulares também acontecem. O processo de criptografia é muito semelhante ao do Windows, a única diferença é o uso de diferentes extensões e formatos de arquivo. AgeLocker aplica seu prompt de comando pessoal para executar o processo de criptografia. Os arquivos que foram afetados pelo AgeLocker são atribuídos a extensões personalizadas com base nos nomes dos usuários. É impossível identificar qual arquivo foi infectado porque o AgeLocker codifica o nome original e adiciona uma extensão aleatória no final. Algumas pessoas relataram que seus arquivos foram adicionados com o .sthd2 extensão e o nome dos arquivos criptografados começa com o age-encryption.org Endereço-URL. Uma vez que todos os arquivos são bloqueados com sucesso, o vírus envia uma nota de resgate (segurança_auditoria_.eml) para o e-mail da vítima.

AESMewLocker Ransomware é uma ameaça real que visa seus dados criptografando-os com algoritmos de formato de arquivo AES. Não é nada peculiar ao mundo do ransomware. O vírus apareceu em vários fóruns alguns dias atrás e levantou uma grande questão em torno de suas vítimas - como descriptografar arquivos? Por enquanto, não há maneiras viáveis ​​de desbloquear arquivos que estão sendo criptografados com o .bloqueado extensão após a penetração. Todos os seus arquivos se tornam inacessíveis e podem ser desbloqueados, somente se você atender aos requisitos do vigarista e pagar pela chave de descriptografia. A chave em si não é barata, você precisa gastar 0.05 BTC e entrar em contato com extorsionários para obter instruções de descriptografia. Todas essas informações são declaradas em uma nota de resgate (READ_IT.txt) criado após criptografia bem-sucedida.

IOCP é uma infecção de ransomware que criptografa dados pessoais e os mantém bloqueados até que as vítimas paguem o chamado resgate. Ele usa a extensão de 5 letras aleatórias para substituir a aparência do arquivo original. Depois de adicionado, o arquivo irá redefinir o ícone e alterá-lo para 1.mp4.UAKXC, por exemplo. Algumas pessoas erram ao dizer que o IOCP faz parte do Conti Ransomware. Isso não é verdade porque o Conti usa algoritmos AES, enquanto o IOCP aplica Salsa20 e ChaCha20. Depois que seus arquivos são bloqueados, o vírus cria uma nota de resgate (R3ADM3.txt) contendo instruções sobre como descriptografar seus dados. É dito que você deve escrever um e-mail para um dos endereços anexados. Nenhum limite de tempo é definido, no entanto, os cibercriminosos dizem que, a menos que você pague pelo software de descriptografia, seus arquivos serão publicados na web. No momento, como esse ransomware é relativamente novo, os especialistas não encontraram uma maneira viável de descriptografar arquivos gratuitamente.

Zorabe é um vírus de criptografia de arquivo determinado por S! R1, pesquisador de malware que abriu uma série de outras infecções. As consequências fornecidas pelo Zorab podem ser vistas claramente na criptografia de dados e nas demandas de pagamento para obter ferramentas de descriptografia. Todos os arquivos afetados pelo ransomware serão reconfigurados com .zrb or .zorab2 extensão. Por exemplo, um arquivo livre de vírus como 1.mp4 vai dar uma olhada em 1.mp4.zrb or 1.mp4.zorab2 após a penetração. Essa mudança significa que seus arquivos não estão mais acessíveis. Para descriptografá-los, extorsionários se oferecem para ler as instruções dadas em uma nota de texto (--DECRYPT - ZORAB.txt) que é descartado depois que a criptografia principal é realizada. Na nota de resgate, os cibercriminosos tentam consolar as vítimas confusas e deixá-las saber que seus dados estão seguros e podem ser recuperados. A única coisa que eles precisam fazer é comprar um software de descriptografia em BTC depois de estabelecer contato com os cibercriminosos por e-mail. Além disso, existe um truque projetado para criar confiança nos usuários - a descriptografia de 2 pequenos arquivos gratuitamente. Infelizmente, como você está lidando com meios fraudulentos, não há garantia real de que seus arquivos serão devolvidos como resultado. É por isso que a maioria dos especialistas cibernéticos recomenda que as pessoas economizem seu dinheiro e criem backups estranhos preventivamente para restaurar arquivos bloqueados após a exclusão do malware.

Descoberto em 2020, CoronaLock restringe o acesso aos dados dos usuários criptografando-os com algoritmos ChaCha, AES e RSA. Arquivos comprometidos por este ransomware, experimentam uma mudança na extensão para qualquer .pandemia, .corona-lock or .biglock. Por exemplo, se 1.mp4 for modificado pelo vírus, ele migrará para 1.mp4.corona-lock or 1.mp4.biglock. Depois disso, os extorsionários exibem informações de resgate na nota (!!! READ_ME !!!. TXT or README_LOCK.TXT) que é colocado na área de trabalho. Curiosamente, as pessoas que são atacadas com a extensão ".biglock" não têm nenhuma informação de contato na nota de resgate para se conectar com os cibercriminosos. Parece que seus desenvolvedores se esqueceram de incluí-lo antes do lançamento. Enquanto isso, as versões ".corona-lock" não têm esse inconveniente e contêm e-mail no arquivo de texto. Se você quiser fazer um teste de descriptografia, pode enviar um arquivo para eles.

Sendo categorizado como infecção por ransomware, Django não é um vírus para se brincar. Assim que cai no seu PC, causa confusão em torno dos dados pessoais criptografando-os com algoritmos especiais que não permitem que ferramentas de terceiros tenham qualquer argumento no futuro. Durante a criptografia de dados, seus arquivos são alterados com o .djang0unchain3d extensão. Isso significa que um arquivo como 1.mp4 será alterado para 1.mp4.djang0unchain3d e redefinir seu ícone original. Parece que os desenvolvedores inspiraram um filme de Hollywood chamado "Django Unchained" e decidiram usar seu nome. Quando a criptografia chega ao fim, as vítimas recebem instruções de resgate em Readme.txt que explicam como descriptografar seus dados. Os cibercriminosos dizem que, para recuperar seus arquivos, você deve contatá-los através do endereço de e-mail anexado e incluir sua identidade. Se você não obtiver uma resposta em 24 horas, deverá escrever para outro e-mail mencionado na nota. Depois disso, os extorsionários pedirão que você compre a chave de descriptografia por meio da carteira BTC, que o ajudará a restaurar o acesso aos dados bloqueados eventualmente.

Descoberto recentemente, Dharma-2020 See More é um programa de ransomware que usa algoritmos criptográficos fortes para bloquear dados e exigir o pagamento de um resgate. Depois que o vírus ataca seu computador, ele codifica instantaneamente os arquivos armazenados, alterando o título deles com o endereço de e-mail de um criminoso e outros símbolos. Por exemplo, 1.mp4 será renomeado para algo como 1.mp4.id-{random-8-digit-alphanumerical-sequence}.[btckeys@aol.com].2020. Após a criptografia bem-sucedida, o programa mostra uma janela de mensagem e cria uma nota de resgate chamada FILES ENCRYPTED.txt. O malware bloqueia qualquer tentativa de descriptografar seus arquivos e usar determinados programas de segurança. Em seguida, Dharma-2020 Ransomware faz um puro clássico pedindo aos usuários que paguem um resgate em BTC (de $ 50 a $ 500) e enviem um cheque de pagamento para seu e-mail e, em seguida, eles lhe darão um programa de descriptografia.