Vírus

IDP.Generic é um nome de código generalizado usado por software antimalware para rotular e, portanto, colocar em quarentena atividades possivelmente maliciosas. O IDP.Generic não está vinculado a nenhum arquivo específico – uma infinidade de arquivos diferentes pode ser atribuído a esse componente de detecção pelo seu antivírus. Na maioria dos casos, essas detecções do IDP.Generic geralmente são falsos positivos e não representam nenhuma ameaça real para os usuários. Um falso positivo é simplesmente quando um software anti-malware identifica erroneamente algum arquivo inofensivo ou legítimo como malicioso e bloqueia sua operação ou até mesmo o exclui completamente. Muitos usuários relatam que a sinalização falsa ocorre com arquivos de videogames ou outro software de terceiros. Normalmente, são os mecanismos Avast e AVG que tendem a detectar mais o IDP.Generic como falso positivo. Nesse caso, basta adicionar o arquivo à sua lista de permissões do antivírus e continuar usando o programa associado sem problemas. No entanto, apesar de muitas detecções como essa não serem motivo de preocupação, é claro que há casos em que o(s) arquivo(s) detectado(s) é(são) realmente malicioso(s). Certifique-se de que o software/arquivo que você baixou é totalmente legítimo e não foi baixado de algum recurso não oficial e comprometido.

Qapo Ransomware é um novo programa de criptografia de arquivos desenvolvido e publicado pelos autores de STOP/Djvu família. Quase todas as versões com direito a esse grupo de extorsionários empregam medidas semelhantes para extorquir dinheiro das vítimas. Esta variante específica foi lançada em meados de março de 2023. Assim que o Qapo entra no seu PC, ele executa uma varredura rápida do seu sistema para encontrar dados confidenciais. Então, uma vez que este processo é concluído, o programa malicioso consegue criptografar seus dados. Durante isso, todos os arquivos são alterados com o .qapo extensão, que aparece no final de cada nome de arquivo. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.qapo, e da mesma forma. Depois de identificar uma mudança tão imediata, você não poderá mais acessar os dados. Para descriptografá-lo, os cibercriminosos instruem as vítimas através das etapas listadas em uma nota de texto (_readme.txt), que abre no final da criptografia. Todas as versões recentes desta família de ransomware usaram texto idêntico nas notas.

Qazx Ransomware é chamado assim, por causa de .qazx extensão, adicionada aos arquivos afetados, modificando as extensões originais de vários tipos de dados confidenciais. Esta versão apareceu em meados de março de 2023. Na verdade, tecnicamente é STOP Ransomware, que usa algoritmos de criptografia AES para criptografar os arquivos do usuário. Esse sufixo é uma das centenas de extensões diferentes usadas por esse malware. Isso significa que você perdeu seus dados valiosos? Não necessariamente. Existem certos métodos que permitem a você recuperar seus arquivos total ou parcialmente. Além disso, há um utilitário de descriptografia gratuito chamado STOP Djvu Decryptor da EmsiSoft, que é atualizado constantemente e é capaz de descriptografar centenas de tipos desse vírus. Depois de terminar sua atividade desastrosa, o Qazx Ransomware cria _readme.txt file (nota de resgate), onde informa os usuários sobre o fato da criptografia, valor do resgate e condições de pagamento.

Se você não conseguir abrir seus arquivos e eles tiverem .craa extensão adicionada no final dos nomes dos arquivos, significa que o seu PC está infectado com Craa Ransomware, a parte de STOP/Djvu Ransomware família. Este malware está atormentando suas vítimas desde 2017 e já se tornou o vírus do tipo ransomware mais difundido da história. Ele infecta milhares de computadores por dia usando vários métodos de distribuição. Ele usa uma combinação complexa de algoritmos de criptografia simétricos ou assimétricos, remove pontos de restauração do Windows, versões anteriores de arquivos do Windows, cópias de sombra e, basicamente, deixa apenas 3 possibilidades de recuperação. A primeira é pagar o resgate, no entanto, não há absolutamente nenhuma garantia de que os malfeitores enviarão a chave de descriptografia de volta. A segunda possibilidade é muito improvável, mas vale a pena tentar - usando uma ferramenta especial de descriptografia da Emsisoft, chamada STOP Djvu Decryptor. Ele funciona apenas sob várias condições, que descreveremos no próximo parágrafo. O terceiro é o uso de programas de recuperação de arquivos, que geralmente atuam como uma solução alternativa para problemas de infecção de ransomware. Vamos observar o arquivo de nota de resgate (_readme.txt), que o vírus coloca na área de trabalho e nas pastas com arquivos criptografados.

Esxi (ESXiArgs) Ransomware é uma infecção maliciosa que visa organizações explorando vulnerabilidades em VMware ESXi - uma ferramenta de máquina virtual usada para gerenciar e otimizar vários processos dentro das organizações. Os relatórios de segurança indicam que os cibercriminosos exploram vulnerabilidades conhecidas no VMware ESXi para obter acesso aos servidores e implantar o ransomware ESXiArgs no sistema visado. Feito isso, o vírus começará a procurar criptografar os arquivos localizados na máquina virtual com as seguintes extensões: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Para cada arquivo criptografado, o ransomware também criará um arquivo separado com .ESXiArgs or .args extensão com metadados dentro (provavelmente necessário para descriptografia futura).

Sendo um sucessor de Djvu Ransomware, Coba é um vírus do tipo ransomware que visa dados pessoais. Assim como outros malwares desse tipo, o Coba executa a criptografia de dados para exigir resgate monetário das vítimas. Todos os arquivos atacados pelo Coba (incluindo imagens, bancos de dados, documentos, etc.) terão acesso restrito e também serão alterados visualmente. Por exemplo, um arquivo como 1.pdf mudará sua aparência para 1.pdf.coba no final da criptografia. Os desenvolvedores desta variante de ransomware aplicam o .coba extensão para cada um dos arquivos de destino armazenados em um sistema. A próxima coisa que ele faz depois de manipular as extensões de dados cria uma nota de resgate (_readme.txt) que contém instruções de descriptografia. Depois que os usuários o abrirem, serão apresentados a eles um texto escrito por cibercriminosos. Este texto fornece informações sobre como retornar os dados criptografados.

SkullLocker é uma nova variante de ransomware. A pesquisa indica que foi desenvolvido com base no Chaos Ransomware – outra infecção devastadora e bem conhecida. Após a infiltração bem-sucedida, o SkullLocker criptografa o acesso aos arquivos, adiciona seu próprio .skull extensão e cria uma nota de resgate (read_it.txt) com instruções de descriptografia escritas no idioma polonês. Aqui está um texto completo apresentado na nota, juntamente com sua tradução para o inglês. No geral, os cibercriminosos exigem que os usuários façam um pagamento em 72 horas, caso contrário, os dados serão perdidos permanentemente. Solicita-se aos usuários que se familiarizem com os detalhes de pagamento e recuperação por meio do link TOR em anexo. Além disso, a nota desaconselha tentar recuperar arquivos manualmente, pois isso pode causar danos permanentes aos arquivos.

Coaq Ransomware é o subtipo de STOP Ransomware (ou DJVU Ransomware) e possui todas as características desta família de vírus. O malware bloqueia o acesso aos dados nos computadores da vítima criptografando-os com o algoritmo de criptografia AES. STOP Ransomware é um dos ransomwares mais antigos. As primeiras infecções foram registradas em dezembro de 2017. Coaq Ransomware com esse sufixo é mais uma geração dele e anexa .coaq extensões para arquivos criptografados. Após a criptografia, o malware cria um arquivo de nota de resgate: _readme.txt na área de trabalho e nas pastas com arquivos codificados. Neste arquivo, os hackers fornecem informações sobre a descriptografia e detalhes de contato, como e-mails: support@freshmail.top e datarestorehelp@airmail.cc.