Tutoriais

Nitz Ransomware é uma grande família de vírus de criptografia com mais de um ano de história. Ele passou por várias modificações visuais e técnicas durante o tempo. Este artigo irá descrever as propriedades peculiares das versões mais recentes deste malware. Desde o início de abril de 2023, o STOP Ransomware começou a adicionar as seguintes extensões aos arquivos criptografados: .nitz. E após o nome da extensão, ela se chama "Nitz Ransomware". O vírus modifica o arquivo "hosts" para bloquear atualizações do Windows, programas antivírus e sites relacionados a notícias de segurança. O processo de infecção também se parece com a instalação de atualizações do Windows, o malware gera uma janela falsa e uma barra de progresso para isso. Esta versão do STOP Ransomware agora usa os seguintes endereços de e-mail: support@freshmail.top e datarestorehelp@airmail.cc. STOP Ransomware cria arquivo de nota de resgate _readme.txt.

Se você está lendo esta página, então o "SharePoint" o e-mail provavelmente é uma mensagem fraudulenta, que deve ser ignorada ou até excluída. Inicialmente, o SharePoint é uma ferramenta legítima da Microsoft usada por muitas empresas em todo o mundo; no entanto, alguns golpistas se fazem passar por seu nome e modelos para promover links/botões maliciosos que levam à pesca sites. O spam de e-mail "SharePoint" foi observado para imitar nomes de empresas e fazer com que os destinatários leiam algumas informações importantes dentro de um anexo PDF falso. Este anexo foi relatado para conter um link que leva a um site falso da Microsoft. Tenha em mente que tal os sites são projetados para induzir os usuários a fornecer informações confidenciais e permitir que os agentes de ameaças abusem deles para roubar o acesso ao Microsoft 365 (Office) ou outras contas provavelmente registradas com as mesmas credenciais de login. É sempre altamente desaconselhável clicar em links ou baixar anexos de mensagens que parecem suspeitos. Alguns cibercriminosos podem abusar de PDF, Word, Excel, RAR, ZIP e outros arquivos genuínos para configurar scripts executáveis ​​que instalarão malware. Portanto, tenha sempre cuidado com o que você clica ou baixa de mensagens de e-mail. O spam de e-mail "SharePoint" é apenas um dos inúmeros outros e-mails fraudulentos que visam os usuários todos os dias. Cuidado com eles e leia nosso guia para obter proteção contra eles no futuro.

Se você chegou a este artigo, provavelmente foi atingido por Niwm Ransomware, que criptografava seus arquivos e modificava suas extensões para .niwm. O nome Niwm é dado apenas a este malware para ajudar os usuários a encontrar a solução de remoção e descriptografia e de acordo com o sufixo que ele anexa. Na verdade, esta é apenas a 681ª versão do STOP Ransomware (as vezes chamado Djvu Ransomware), que está ativo há mais de 5 anos e se tornou uma das famílias de ransomware mais difundidas. O Niwm foi lançado nos primeiros dias de abril de 2023. Infelizmente, há poucas chances de descriptografia 100% agora, pois ele usa algoritmos de criptografia fortes; no entanto, com as instruções abaixo, você poderá recuperar alguns arquivos. usa a combinação de algoritmos de criptografia RSA e AES para criptografar os arquivos da vítima. O algoritmo RSA é usado para criptografar a chave AES e o algoritmo AES é usado para criptografar os arquivos da vítima. A chave AES é gerada aleatoriamente para cada vítima e é armazenada no servidor do invasor. Mas primeiro você precisa remover os arquivos do ransomware e eliminar seus processos. Abaixo está um exemplo de nota de resgate do Niwm Ransomware, que ele deixa na área de trabalho (_readme.txt). É bastante típico e permanece quase o mesmo com pequenas alterações por vários anos.

Cylance é o nome de uma infecção de ransomware que tem como alvo usuários de Windows e Linux. Os usuários infectados com esse tipo de malware não poderão mais acessar seus dados devido à criptografia. Além disso, as vítimas também verão os arquivos afetados modificados com o .Cylance extensão. Depois disso, eles não estarão mais acessíveis e as vítimas terão que seguir as instruções de descriptografia na nota de resgate gerada (chamada CYLANCE_README.txt). Observe que o Cylance Ransomware não tem nada a ver com o Cylance by BlackBerry - soluções legítimas de segurança cibernética corporativa. Em geral, a nota de resgate diz que os dados da vítima foram criptografados e os cibercriminosos são os únicos detentores de chaves privadas capazes de descriptografá-los. Para obter essa chave e, presumivelmente, o software para executar a descriptografia, as vítimas são instruídas a entrar em contato com os vigaristas por e-mail e transferir dinheiro para eles. O preço não é divulgado e provavelmente calculado para cada vítima separadamente. Além disso, os cibercriminosos também se oferecem para testar a desencriptação gratuitamente enviando um ficheiro encriptado. Não importa o quão confiáveis ​​os cibercriminosos pareçam, é sempre desaconselhado colaborar com eles e pagar o resgate. Muitas vítimas acabam sendo enganadas e não recebem as ferramentas de descriptografia prometidas. Embora esse não seja o caso do Cylance Ransomware, o risco existe.

Nifr Ransomware, sendo parte de STOP Ransomware (DjVu Ransomware) família, é um vírus criptografador elaborado, que criptografa os arquivos do usuário e os torna inacessíveis. O malware usa um algoritmo de criptografia AES (Salsa20) inquebrável e a descriptografia só é possível em 2-3% dos casos. Ele primeiro gera uma chave de criptografia AES-256 exclusiva para cada arquivo criptografado, que é usado para criptografar o conteúdo do arquivo. Esse processo é conhecido como criptografia simétrica, pois a mesma chave é usada para criptografar e descriptografar o arquivo. Depois de criptografar o arquivo com a chave AES-256, o Nifr Ransomware criptografa a chave AES-256 com uma chave pública RSA-1024, incluída no código do ransomware. Este processo é conhecido como criptografia assimétrica, pois usa chaves diferentes para criptografia e descriptografia. A versão recente do STOP Ransomware adiciona o seguinte sufixo ou extensão: .nifr. A variação de vírus correspondente recebeu nomes: Nifr Ransomware. Após a criptografia, o ransomware cria _readme.txt arquivo, que os especialistas chamam de "nota de resgate", e abaixo você pode se familiarizar com o conteúdo deste arquivo. A nota contém instruções sobre como entrar em contato com os operadores de ransomware e pagar o resgate para receber a chave de descriptografia. O ransomware é normalmente distribuído por meio de e-mails de spam, atualizações falsas de software e cracks/keygens de software. É importante observar que pagar o resgate não é recomendado, pois incentiva os criminosos e não há garantia de que a chave de descriptografia será fornecida.

D7k é o nome de uma infecção de ransomware recentemente descoberta. Assim como outras infecções dentro desta categoria, ele foi projetado para criptografar os dados armazenados no sistema e extorquir dinheiro das vítimas para descriptografá-los. Durante a criptografia, todos os arquivos direcionados serão .D7k extensão e redefinir seus ícones para branco. Como resultado, os usuários não poderão mais acessar seus arquivos, mesmo após remover manualmente a extensão recém-atribuída. Quando a criptografia bem-sucedida chega ao fim, o vírus cria um arquivo de texto chamado note.txt, que contém diretrizes de descriptografia. A nota contém um pequeno texto exigindo $ 500 dólares para descriptografar o arquivo. Este valor deve ser enviado para a carteira bitcoin anexada por cibercriminosos. A mensagem não inclui nenhum canal de comunicação, o que torna o processo de descriptografia ambíguo. Pagar o resgate não é recomendado porque muitos cibercriminosos enganam suas vítimas e não enviam os meios de descriptografia prometidos em troca. No entanto, neste caso, parece ser ainda mais arriscado devido à falta de canais de comunicação para entrar em contato com os extorsionários. Apesar disso, os cibercriminosos geralmente são as únicas figuras capazes de desbloquear o acesso aos dados de forma completa e segura. No momento em que este artigo foi escrito, nenhuma ferramenta pública de terceiros é conhecida por ignorar as cifras atribuídas pelo D7k Ransomware. A descriptografia usando ferramentas de terceiros ou cópias de sombra do Windows é possível apenas em casos raros, quando o ransomware é falho ou falha acidentalmente durante sua operação por qualquer motivo. Caso contrário, as únicas maneiras de recuperar seus dados são colaborando com desenvolvedores de ransomware ou recuperando dados de cópias de backup existentes. Backups são cópias de dados armazenados em dispositivos externos, como unidades USB, discos rígidos externos ou SSDs.

Jycx Ransomware (em outra classificação STOP Ransomware or Djvu Ransomware) é um malware prejudicial, que bloqueia o acesso aos arquivos do usuário criptografando-os e requer uma compra. Foi lançado nos últimos dias de março de 2023 e atingiu dezenas de milhares de computadores. O vírus usa um algoritmo de criptografia inquebrável (AES-256 com chave RSA-1024) e exige um resgate a ser pago em Bitcoins. No entanto, devido a alguns erros de programação, há casos em que seus arquivos podem ser descriptografados. Uma versão do STOP Ransomware, que estamos considerando hoje, acrescenta .jycx extensões para arquivos criptografados e, portanto, recebeu o nome de Jycx Ransomware. Após a criptografia, apresenta o arquivo _readme.txt à vítima. Este arquivo de texto contém informações sobre a infecção, detalhes de contato e declarações falsas sobre garantias de descriptografia. Os seguintes e-mails são usados ​​por malfeitores para comunicação: support@freshmail.top e datarestorehelp@airmail.cc.

Hairysquid é uma variante recém-descoberta do Mimic ransomware. Após a penetração, ele modifica o Windows GroupPolicy, desativa a proteção do Windows Defender e desativa outros recursos do Windows para excluir qualquer dissuasão de sua atividade maliciosa. O objetivo desta infecção é criptografar o acesso aos dados armazenados no sistema e exigir dinheiro para sua descriptografia. Durante os processos de criptografia, o vírus anexa o .Hairysquid extensão a todos os arquivos afetados. Uma vez feito, um arquivo como 1.pdf vai virar para 1.pdf.Hairysquid e mude seu ícone eventualmente. As instruções sobre como descriptografar os dados bloqueados são apresentadas no READ_ME_DECRYPTION_HAIRYSQUID.txt note, que é criado junto com a criptografia bem-sucedida. No geral, diz-se que as vítimas foram atacadas por ransomware, que criptografaram seus dados. Para reverter os danos e recuperar os arquivos, as vítimas devem entrar em contato com os vigaristas por meio de um dos canais de comunicação fornecidos (TOX messenger, ICQ messenger, Skype e e-mail) e pagar pela descriptografia em Bitcoins. Diz-se que o preço da desencriptação é calculado com base no número e no valor potencial dos dados encriptados. Além disso, também é permitido testar a descriptografia gratuitamente enviando 3 arquivos bloqueados para cibercriminosos. Infelizmente, geralmente é impossível descriptografar dados bloqueados sem o envolvimento dos próprios cibercriminosos.