Vírus

Roghe é um vírus ransomware direcionado aos dados pessoais das vítimas. Depois que o malware infecta um sistema de destino, ele inicia a criptografia de arquivos potencialmente importantes, tornando-os inacessíveis até que uma chave de descriptografia seja recuperada. Durante o processo de criptografia, Roghe Ransomware atribui o .enc extensão para arquivos infectados. Por exemplo, um arquivo como 1.pdf vai virar para 1.pdf.enc e assim por diante com outros arquivos afetados. Depois que todos os arquivos são criptografados, o vírus altera os papéis de parede da área de trabalho e força a abertura de uma janela pop-up com diretrizes de descriptografia. O texto apresentado nos papéis de parede recém-atribuídos permite que os usuários saibam que foram infectados e os incentiva a seguir as instruções da janela pop-up aberta. Além disso, também possui um código QR que leva a mais informações sobre o malware. A janela "Roghe Decryptor" diz que as vítimas têm 15 minutos para recuperar a chave e colá-la para desbloquear o acesso aos arquivos - caso contrário, os arquivos criptografados serão excluídos para sempre. Ele também diz que dentro de 20 minutos o sistema operacional ficará inacessível, basicamente ficando bloqueado.

Nova onda de STOP Ransomware a infecção continua com Qowd Ransomware, que anexa .qowd extensões. O STOP Ransomware foi detectado pela primeira vez em 2018 e, desde então, evoluiu para um dos tipos mais comuns de ransomware. Essas extensões ".qowd" são adicionadas aos arquivos criptografados no final de fevereiro de 2023. Este vírus complicado usa o algoritmo de criptografia AES para codificar as informações importantes dos usuários. Como regra, o Qowd Ransomware ataca fotos, vídeos e documentos - dados que as pessoas valorizam. Os desenvolvedores de malware extorquem resgate e prometem fornecer uma chave de descriptografia em troca. A descriptografia completa de dados perdidos é possível em uma minoria de casos, se uma chave de criptografia offline foi usada, caso contrário, use as instruções na página para recuperar arquivos criptografados. O ransomware também cria uma nota de resgate (_readme.txt) que informa a vítima sobre o ataque e exige pagamento em Bitcoin ou outras criptomoedas em troca da chave de descriptografia.

Iotr Ransomware (as vezes chamado STOP Ransomware or DjVu Ransomware) é um vírus de criptografia amplamente difundido, que apareceu pela primeira vez em dezembro de 2017. Desde então, muitas alterações técnicas e de design ocorreram e algumas gerações de malware foram alteradas. O Ransomware usa o algoritmo de criptografia AES-256 (modo CFB) para codificar os arquivos do usuário e, após esta última versão (apareceu no final de fevereiro de 2023), acrescenta .iotr extensões. Após a criptografia, o vírus cria um arquivo de texto _readme.txt, que é chamado de "nota de resgate", onde os hackers divulgam o valor do resgate, informações de contato e instruções para pagá-lo. STOP Ransomware com extensões de arquivo .iotr use os seguintes e-mails: support@freshmail.top e datarestorehelp@airmail.cc, assim como dezenas de seus antecessores.

Kangaroo é uma infecção de ransomware lançada por desenvolvedores por trás de criptografadores de arquivos anteriores, como Apocalypse, Fabiansomware e Esmeralda. Embora esse criptografador de arquivos estivesse circulando ativamente em 2021, alguns usuários ainda podem ser penetrados por ele hoje em dia. O objetivo do malware dentro desta categoria é criptografar dados potencialmente importantes e extorquir dinheiro para descriptografar as vítimas. O recurso que destaca o Kangaroo entre outras infecções comuns de ransomware é que ele configura os valores do registro para exibir uma mensagem de resgate antes de entrar na tela de login do Windows. Imediatamente após o login no sistema, ele também exibe uma tela falsa com a mesma mensagem de resgate, mas desta vez com um campo dedicado para inserir uma senha para desbloqueá-lo. Durante a criptografia, o Kangaroo também atribui o .crypted_file extensão e cria mensagens de resgate idênticas na forma de notas de texto. Essas notas de texto são criadas adicionalmente para cada arquivo criptografado e são nomeadas com base no nome do arquivo pós-criptografia (como aqui 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Ioqa Ransomware (aka STOP Ransomware or Djvu Ransomware) é um vírus extremamente perigoso que criptografa arquivos usando o algoritmo de criptografia AES-256 e adiciona .ioqa extensions to affected files. The infection mostly involves important and valuable files, like photos, documents, databases, e-mails, videos, etc. Ioqa Ransomware does not touch system files to allow Windows to operate, so users will be able to pay the ransom. If the malware server is unavailable (computer is not connected to the Internet, remote hackers' server does not work), then the encryption tool uses the key and identifier that is hard-coded in it and performs offline encryption. In this case, it will be possible to decrypt the files without paying the ransom. Ioqa Ransomware creates _readme.txt arquivo, que contém a mensagem de resgate e detalhes de contato, na área de trabalho e nas pastas com arquivos criptografados. Os desenvolvedores podem ser contatados por e-mail: support@freshmail.top e datarestorehelp@airmail.cc.

Mikel Ransomware é uma infecção maliciosa projetada para criptografar dados pessoais e extorquir dinheiro para sua descriptografia. Também é identificado como uma nova variante de outro criptografador de arquivos chamado Proxima. Durante a criptografia, Mikel Ransomware atribui o .mikel extensão para destacar a alteração. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.mikel e redefina seu ícone original. Observe que excluir a extensão atribuída do arquivo criptografado não retornará o acesso a ele. A criptografia torna os dados permanentemente bloqueados e requer chaves de descriptografia para desbloqueá-los. Após a conclusão da criptografia, o vírus cria o Mikel_Help.txt nota de texto com instruções sobre descriptografia.

STOP Ransomware é um vírus de criptografia sofisticado, que usa o algoritmo Salsa20 para codificar dados pessoais confidenciais, como fotos, vídeos e documentos. A última versão (Iowd Ransomware), apareceu em meados de fevereiro de 2023, acrescenta .iowd extensão aos arquivos e os torna ilegíveis. Até o momento, a família inclui cerca de mais de 600 representantes, e o número total de usuários afetados se aproxima de um milhão. A maioria dos ataques ocorre na Europa e América do Sul, Índia e Sudeste Asiático. A ameaça também afetou os Estados Unidos, Austrália e África do Sul. Embora o vírus Iowd seja menos conhecido que GandCrab, Dharma e outros trojans ransomware, é este ano que responde por mais da metade dos ataques detectados. Além disso, o próximo participante da classificação, o mencionado Dharma, fica atrás dele neste indicador em mais de quatro vezes. Um papel significativo na prevalência do STOP Ransomware é desempenhado por sua diversidade: nos períodos mais ativos, os especialistas encontraram três ou quatro novas versões diariamente, cada uma das quais atingiu vários milhares de vítimas.

Crackonosh é o nome de um trojan distribuído furtivamente dentro de instaladores de software crackeados. Após a instalação bem-sucedida, seu objetivo é injetar o minerador XMRIG e começar a minerar a criptomoeda Monero para os agentes da ameaça. A partir de agora, as estatísticas mostram que esse minerador ajudou os cibercriminosos a minerar a quantidade de Monero no valor de aproximadamente dois milhões de dólares. Algumas palavras sobre como o trojan faz seu trabalho malicioso: depois que o instalador do software crackeado é iniciado, ele coloca um instalador e um script no sistema de destino, que altera as configurações do Registro do Windows para desativar o modo de hibernação e ativar o Crackonosh em segurança Modo na próxima inicialização do sistema. Dessa forma, o trojan desativa o Windows Update e o Windows Defender e ainda pode desinstalar programas antivírus de terceiros (por exemplo, Avast, Bitdefender, Kaspersky, McAfee e Norton) para reduzir a chance de ser detectado e bloqueado. Para ocultar sua presença, ele apaga os arquivos de log do sistema, serviceinstaller.msi arquivos e maintenance.vbs arquivos. Como resultado, alguns sistemas infectados podem exibir mensagens de erro indicando problemas com os arquivos mencionados acima. Além disso, o Crackonosh também pode interromper os serviços do Windows Update e substituir o ícone do Windows Security por um falso ícone verde na bandeja do sistema. Os principais sintomas que devem chamar sua atenção e levar você a suspeitar que algo está errado com seu sistema geralmente são desempenho lento e lento do PC, aumento do uso de CPU/GPU/RAM, superaquecimento, travamentos inesperados e outros problemas relacionados. Portanto, se algum desses sintomas estiver presente, leia nosso guia abaixo e elimine o potencial trojan de mineração de criptografia do seu computador.