Vírus

Recov é uma nova variante de ransomware da família VoidCrypt. Depois de se infiltrar em um sistema, ele executa a criptografia de dados (para evitar que as vítimas acessem os arquivos) e diz às vítimas para pagar por um kit de software de descriptografia + chave RSA para desbloquear os arquivos. As instruções sobre como fazê-lo são apresentadas dentro do Dectryption-guide.txt bilhete de resgate. Mais uma coisa que esse ransomware faz é atribuir alterações visuais aos arquivos criptografados - uma sequência de caracteres que consiste no ID da vítima, no endereço de e-mail dos cibercriminosos e no .Recov extensão será adicionada aos nomes dos arquivos. Por exemplo, um arquivo originalmente chamado 1.pdf será alterado para 1.pdf.[MJ-TN2069418375](Recoverifiles@gmail.com).Recov ou similarmente. Os cibercriminosos exigem que as vítimas estabeleçam contato com eles por e-mail (Recoverifiles@gmail.com ou Recoverifiles@protonmail.com em caso de não resposta). Embora não esteja claro o que os extorsionários precisam, é provável que eles exijam que suas vítimas paguem uma determinada taxa por uma ferramenta de descriptografia e chave RSA que estão disponíveis apenas para os desenvolvedores.

Kadavro Vector é um programa de ransomware voltado para usuários que falam inglês, russo e norueguês. O objetivo desse vírus é criptografar dados potencialmente importantes e extorquir dinheiro das vítimas para sua descriptografia. Ao tornar os arquivos inacessíveis, o malware também anexa o .vector_ extensão para arquivos de destino. Por exemplo, um arquivo originalmente chamado 1.pdf vai experimentar uma mudança para 1.pdf.vector_ e redefina seu ícone original. Logo após a criptografia bem-sucedida, o Kadavro Vector abre à força sua janela pop-up contendo as diretrizes de descriptografia. Além disso, os papéis de parede da área de trabalho também são alterados. A nota de resgate instrui as vítimas a não desligarem a Internet e seus computadores, pois isso pode causar danos aos dados criptografados. Para devolver os dados, as vítimas precisam comprar a criptomoeda Monero (XMR) no valor de $ 250 e enviá-la para o endereço criptográfico dos cibercriminosos. Além disso, há também um cronômetro indicando quanto tempo os usuários têm para pagar pela descriptografia. Caso as vítimas não consigam fazê-lo dentro do prazo alocado, diz-se que todos os arquivos serão excluídos usando algoritmos de ponta, tornando-os permanentemente irrecuperáveis ​​no futuro. Ao fazer isso, os agentes de ameaças tentam colocar pressão extra nas vítimas e, assim, forçá-las a atender às demandas de descriptografia.

Coty Ransomware faz parte de um grande família de STOP/Djvu Ransomware. Ele recebeu esse nome porque as versões originais do malware adicionaram o .stop (mais tarde .djvu) e os criptografou com uma combinação de criptografia AES e RSA para tornar os arquivos inacessíveis no computador Windows infectado. Coty Ransomware de acordo com seu nome adiciona .coty extensão. Esta versão apareceu no final de abril de 2023. Depois que o ransomware Coty/STOP conclui o procedimento de criptografia, o vírus cria uma nota de resgate para _readme.txt arquivo. A mensagem dos golpistas diz que as vítimas devem pagar o resgate em 72 horas. Os autores do vírus STOP estão exigindo US$ 490 durante os primeiros três dias e US$ 980 após esse período. Para fornecer confirmação, os hackers permitem que 1-3 arquivos "não muito grandes" sejam enviados para descriptografia gratuita para support@freshmail.top or datarestorehelp@airmail.cc para um teste.

Cooper é um vírus ransomware que infecta sistemas para criptografar arquivos potencialmente importantes e exige dinheiro para sua descriptografia. Junto com a execução de criptografia segura, ele também atribui o .cooper extensão aos arquivos afetados. Por exemplo, um arquivo originalmente chamado 1.pdf mudará para 1.pdf.cooper e perder seu ícone original. Após essa alteração, os arquivos não poderão mais ser usados, mesmo que você remova a extensão adicionada. Para reverter essas alterações, as instruções de descriptografia são apresentadas no Cooper_Recover.txt arquivo. Os cibercriminosos pedem às vítimas que os contatem por e-mail e paguem por um software de descriptografia exclusivo. Atores de ameaças são as únicas pessoas que têm acesso a ele, e diz-se que nenhuma outra ferramenta é capaz de fornecer descriptografia para arquivos .cooper criptografados. Durante o contato, as vítimas também são solicitadas a incluir o ID na linha de assunto de uma mensagem de e-mail. Infelizmente, a menos que você tenha um backup disponível que possa ser usado para recuperar cópias de arquivos criptografados, pagar o resgate aos cibercriminosos pode ser a única maneira de devolver seus arquivos. Várias infecções de ransomware usam algoritmos de criptografia fortes e geram chaves online, garantindo que a descriptografia seja quase impossível sem a ajuda de desenvolvedores iniciais.

Coza é uma nova amostra de ransomware desenvolvida pelo notório grupo STOP/Djvu de extorsionários. Assim como muitas outras variantes publicadas por esses cibercriminosos, esta emprega um padrão de criptografia e extorsão quase idêntico. Ao se instalar em uma máquina infectada, o vírus começa a escanear e, portanto, criptografar dados potencialmente importantes. Ao fazer isso, o vírus visa criar mais incentivos para as vítimas pagarem pela descriptografia proposta pelos invasores. Além da criptografia, o malware também garante que as vítimas possam diferenciar os arquivos bloqueados dos não bloqueados - simplesmente atribuindo o .coza extensão. Por exemplo, um arquivo anteriormente chamado 1.xlsx mudará para 1.xlsx.coza, 1.pdf para 1.pdf.coza e assim por diante com outros tipos de arquivo de destino. Para desfazer a criptografia, diz-se que as vítimas seguem as instruções dentro do _readme.txt nota de texto.

Pwpdvl é um vírus ransomware projetado para extorquir dinheiro das vítimas executando a criptografia de dados. Em outras palavras, as pessoas afetadas por esse malware não poderão mais acessar e visualizar seus arquivos. Quando o Pwpdvl codifica arquivos potencialmente importantes, ele também atribui o ID da vítima, junto com o .pwpdvl extensão no final. Por exemplo, um arquivo como 1.pdf irá alterar para algo como 1.pdf.[ID-9ECFA84E].pwpdvl e descanse seu ícone original. Para fazer as vítimas pagarem pela recuperação, o criptografador de arquivos cria uma nota de texto de resgate (RESTORE_FILES_INFO.txt), que contém instruções de descriptografia. É exigido que as vítimas entrem em contato com os vigaristas (via Bitmessage ou qTOX) e paguem pela descriptografia na criptomoeda Monero (XMR). Antes de enviar o pagamento, os cibercriminosos também se oferecem para testar a descriptografia gratuita – as vítimas podem enviar 2 arquivos criptografados (não importantes e com no máximo 1 MB) e desbloqueá-los gratuitamente. Este é um tipo de garantia que os extorsionários oferecem para provar suas habilidades de descriptografia e dar confiança extra para pagar o resgate. No entanto, observe que confiar em cibercriminosos é sempre um risco. Alguns usuários são enganados e não recebem as ferramentas/chaves de descriptografia prometidas, independentemente de atender às demandas. Apesar disso, infelizmente, apenas os desenvolvedores de ransomware possuem as chaves de descriptografia necessárias para restaurar com segurança o acesso aos dados. A descriptografia independente usando ferramentas de terceiros ou cópias de sombra do Windows pode ser possível, mas em casos muito raros, quando o ransomware contém falhas ou não conseguiu criptografar os dados como pretendido.

VapeV7 é um vírus ransomware projetado para criptografar dados em sistemas infectados com sucesso. Ao fazer isso, o vírus garante que os usuários não possam mais acessar/visualizar seus próprios dados, o que permite que os agentes de ameaças exijam dinheiro para descriptografá-los. Os arquivos criptografados aparecerão com o novo .VapeV7 extensão e redefinir seus ícones originais para em branco. Depois disso, as vítimas receberão instruções de descriptografia em uma janela pop-up dedicada. Para restaurar o acesso aos dados, as vítimas são obrigadas a enviar $ 200 para a carteira BTC dos cibercriminosos (através de um endereço dentro da janela pop-up) e notificar os extorsionários com o ID da transação por e-mail. Observe que as carteiras BTC e os e-mails de contato estão mudando a cada segundo, criando muita incerteza sobre qual endereço de carteira e e-mail usar. Além disso, as carteiras BTC exibidas são realmente incorretas e, portanto, inexistentes. Um fenômeno tão estranho pode ser um sinal de que o VapeV7 Ransomware está bugado ou ainda em desenvolvimento. No entanto, não exclui que os cibercriminosos por trás desse ransomware removerão os bugs e atacarão futuras vítimas com diretrizes de descriptografia mais confiáveis. Infelizmente, apesar desse fato, é menos provável que os arquivos criptografados pelo VapeV7 Ransomware sejam descriptografados manualmente.

Charmant é um programa malicioso que se enquadra na categoria de ransomware. O malware desse tipo é projetado para criptografar o acesso aos dados e fazer com que as vítimas paguem por sua descriptografia. Ao criptografar o acesso a arquivos armazenados no sistema, essa variante de ransomware também atribui o .charmant extensão para destacar os dados bloqueados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf e perder seu ícone original. Imediatamente após a conclusão da criptografia, uma nota de texto chamada #RECOVERY#.txt é criado para apresentar diretrizes de descriptografia. Para estabelecer contato com os cibercriminosos e solicitar a descriptografia dos arquivos bloqueados, as vítimas são instruídas a escrever via e-mail ou cliente Jabber (um serviço de mensagens seguro). Após uma comunicação bem-sucedida com os cibercriminosos, as vítimas provavelmente serão obrigadas a pagar uma determinada taxa de resgate para obter um software especial e uma chave de descriptografia. Além disso, a mensagem também adverte contra a execução de quaisquer modificações nos arquivos ou a tentativa de descriptografá-los usando ferramentas de terceiros, pois tais ações podem causar danos permanentes. Embora essas informações possam ser inicialmente projetadas para assustar usuários inexperientes e, eventualmente, pagar pela descriptografia, na verdade é verdade. Sem as chaves de descriptografia corretas armazenadas pelos cibercriminosos, raramente é possível descriptografar os arquivos completamente e sem riscos de danos. No momento da redação deste artigo, nenhuma ferramenta de terceiros é conhecida por ser capaz de descriptografar os dados bloqueados. Em casos raros, as ferramentas de desencriptação genéricas podem funcionar apenas se o ransomware contiver falhas ou não conseguir encriptar os ficheiros da forma pretendida.