Vírus

O número de consultas relacionadas a novas atividades de ransomware está crescendo a cada dia com novas infecções. Desta vez, os usuários estão lidando com Tycx Ransomware, que é uma peça nova e perigosa desenvolvida pela Djvu/STOP família. Esta versão específica começou a infectar computadores na segunda quinzena de março de 2023. Sua atividade recente criptografou muitos dados pessoais com algoritmos fortes. Apesar do Tycx Ransomware ainda não ter sido totalmente inspecionado, algumas coisas já estão claras. Por exemplo, o vírus reconfigura vários tipos de dados (imagens, documentos, bancos de dados, etc.) alterando as extensões originais para .tycx. Isso significa que todos os tipos de dados irão salvar seu nome inicial, mas mudar a extensão principal para algo como este "1.pdf.tycx". Assim que o processo de criptografia chegar ao fim, você não poderá mais acessar seus dados. Para recuperá-lo, extorsionários criaram um script para a criação de notas idênticas colocadas em pastas criptografadas ou em uma área de trabalho. O nome da nota é geralmente _readme.txt, que contém instruções detalhadas sobre como recuperar seus dados.

Tywd Ransomware (a última versão do STOP or Djvu Ransomware) é extremamente prejudicial e um dos vírus de criptografia mais ativos. Mais da metade dos envios de ransomware para o ID-Ransomware (serviço de identificação de ransomware) são feitos por vítimas do STOP Ransomware. Embora esteja em circulação há alguns anos, o número de infecções causadas pelo Tywd Ransomware continua a aumentar. Pode ser um tanto irônico, mas a maioria das vítimas (no momento) são usuários de software pirata. A versão do vírus, que está sendo considerada hoje, acrescenta .tywd extensão para arquivos. O programa malicioso também cria um arquivo de texto (chamado _readme.txt) em cada pasta infectada, o que explica ao usuário que seu computador está infectado e ele não poderá acessar seus dados até que pague um resgate de US$ 980. Se o usuário pagar dentro de 72 horas após a infecção, o resgate é reduzido para 490 dólares americanos. O exemplo desta nota de resgate é apresentado abaixo.

Darj Ransomware é um vírus de criptografia e chantagista predominante, que tem como alvo arquivos pessoais valiosos. Pertence a STOP/Djvu grupo de malware. Após a infecção e a codificação de dados, os hackers começam a extorquir o resgate. Houve mais de 600 versões do ransomware, cada versão é ligeiramente modificada para contornar a proteção, mas as pegadas principais permanecem as mesmas. O malware usa AES-256 no modo CFB. Logo após o lançamento, o executável criptógrafo da família STOP se conecta ao C&C, recupera a chave de criptografia e o ID de infecção do PC da vítima. Os dados são transmitidos por HTTP simples na forma de JSON. Se o C&C não estiver disponível (o PC não está conectado à Internet, o próprio servidor não está funcionando), o criptógrafo usa a chave codificada e o ID nele e executa a criptografia offline. Nesse caso, você pode descriptografar os arquivos sem pagar resgate. As variações do STOP Ransomware podem ser distinguidas umas das outras pelas notas de resgate e extensões que adiciona aos arquivos criptografados. Para STOP Ransomware em pesquisa hoje, a extensão é: .darj. O arquivo da nota de resgate _readme.txt é apresentado abaixo na caixa de texto e imagem. No artigo abaixo, explicamos como remover completamente o Darj Ransomware e as formas de descriptografar ou restaurar arquivos .darj.

Basn é uma infecção de ransomware que tem como alvo várias empresas. Após a infiltração, ele verifica rapidamente o sistema em busca de arquivos potencialmente importantes (por exemplo, documentos, bancos de dados, vídeos, imagens, etc.) e criptografa o acesso a eles. Durante este processo, o vírus também atribui o seu próprio .basn extensão para destacar os dados bloqueados. Por exemplo, um arquivo originalmente chamado 1.xlsx mudará para 1.xlsx.basn e redefina seu ícone para branco. Após a criptografia bem-sucedida, o criptografador de arquivos também descarta um arquivo de texto chamado unlock your files.txt com instruções de descriptografia dentro. Dentro da nota, fica claro que os dados da vítima foram criptografados e extraídos para os servidores dos cibercriminosos. Para desbloquear os dados criptografados e evitar o vazamento de dados para recursos/números obscuros, os extorsionários exigem que as vítimas paguem um resgate em criptomoeda Bitcoin ou Monero. O preço não é divulgado na nota, pois é provável que varie dependendo da quantidade e valor dos dados criptografados. Infelizmente, a menos que o vírus tenha vulnerabilidades graves que possam ser exploradas, os cibercriminosos geralmente são as únicas figuras capazes de descriptografar o acesso aos dados de forma completa e segura. Por enquanto, nenhum terceiro é capaz de contornar a criptografia aplicada pelo Basn Ransomware. As únicas opções disponíveis para recuperação de dados são colaborar com desenvolvedores de ransomware ou obter dados de cópias de backup existentes. Backups são cópias de dados armazenados em dispositivos externos, como unidades USB, discos rígidos externos ou SSDs. A única desvantagem da autorrecuperação é que os agentes de ameaças podem, de fato, publicar os dados coletados e, portanto, prejudicar a reputação de algumas empresas, se realmente tiverem a intenção de fazê-lo.

Dazx Ransomware é uma versão do STOP/Djvu família ransomware. É um tipo de malware que criptografa os arquivos no computador da vítima e exige o pagamento de um resgate em troca da chave de descriptografia. Quando o Dazx Ransomware infecta um computador, ele criptografa os arquivos da vítima usando um algoritmo de criptografia forte, tornando-os inacessíveis para a vítima. O malware usa um algoritmo de criptografia simétrica para criptografar os arquivos da vítima. Especificamente, ele usa a cifra de fluxo Salsa20 para criptografar os dados. A chave de criptografia é gerada aleatoriamente para cada vítima e é armazenada no servidor do invasor. Os arquivos criptografados terão uma nova extensão adicionada aos seus nomes de arquivo, como .dazx. O Dazx Ransomware também cria um arquivo de nota de resgate chamado _readme.txt em cada pasta que contém arquivos criptografados. Este arquivo contém instruções sobre como pagar o resgate para receber a chave de descriptografia. A nota de resgate também adverte a vítima contra a tentativa de descriptografar os arquivos usando software de terceiros, pois isso pode resultar em perda permanente de dados.

Code é o nome de uma nova variante de ransomware que infecta organizações para executar a criptografia de dados e extorquir dinheiro em troca da chave de descriptografia. Durante a criptografia, ele anexa o .code extensão e cria uma nota de resgate (chamada !!!HOW_TO_DECRYPT!!!.txt) com instruções sobre como descriptografar os dados bloqueados. Aqui está a aparência de um arquivo infectado após a criptografia - 1.pdf.code, 2.png.code, e assim por diante com outros tipos de arquivo visados ​​pelo vírus. Na nota, os cibercriminosos tentam persuadir as vítimas a pagar o resgate pela descriptografia. Diz-se que as vítimas precisam instalar o mensageiro TOX e escrever para os extorsionários usando o TOX ID fornecido. A menos que as vítimas atendam a essas demandas e se recusem a comprar a descriptografia, os agentes de ameaças ameaçam começar a compartilhar aleatoriamente os dados criptografados com outras partes ou vazar/vendê-los na dark web e outros recursos obscuros.

Dapo Ransomware é uma variante do STOP/Djvu Ransomware, que é um tipo de malware que criptografa arquivos no computador da vítima e exige o pagamento de um resgate em troca de uma chave de descriptografia para restaurar os arquivos. Durante a criptografia, esse malware modifica as extensões de arquivo para .dapo. Após a conclusão do processo de criptografia, o ransomware lança uma nota de resgate na área de trabalho da vítima e em todas as pastas que contêm arquivos criptografados. A nota contém instruções sobre como pagar o resgate para receber a chave de descriptografia. Os invasores geralmente exigem pagamento em criptomoeda, como Bitcoin. É importante observar que não há garantia de que o pagamento do resgate resultará na descriptografia dos arquivos. Em alguns casos, as vítimas pagaram o resgate, mas nunca receberam a chave de descriptografia, enquanto em outros casos, a chave de descriptografia fornecida pelos invasores foi considerada ineficaz. O nome do arquivo da nota de resgate usado pelo Dapo Ransomware segue a mesma convenção de nomenclatura. O arquivo é nomeado _readme.txt. A nota de resgate contém instruções sobre como pagar o resgate para receber a chave de descriptografia e normalmente inclui um endereço de e-mail que a vítima pode usar para se comunicar com os invasores.

Qarj é uma nova variante de ransomware desenvolvida e publicada por um modelo de notório STOP/Djvu família. Esta variante específica foi lançada em março de 2023. Sendo um vírus de criptografia de arquivos, ele bloqueia o acesso a dados pessoais usando algoritmos de criptografia seguros. Isso significa que os arquivos armazenados em um PC não serão mais abertos pelos usuários até que sejam descriptografados. Atualmente, há pequenas chances de descriptografia de arquivos criptografados por Qarj. Apenas 1-2% dos casos são descriptografáveis, quando certas condições são atendidas. Use todas as instruções nesta página até obter alguns dados restaurados. Para mostrar que todos os arquivos foram bloqueados, os desenvolvedores anexam o novo .qarj extensão para cada um dos arquivos. Por exemplo, uma amostra de arquivo como 1.pdf mudará para 1.pdf.qarj e redefinir seu ícone eventualmente. Depois que essa parte da criptografia for concluída, o vírus cria uma nota de texto (_readme.txt) com instruções de resgate.