Vírus

Sojusz é o nome de uma infecção por ransomware. Pertence ao ransomware Makop família que projeta uma série de diferentes codificadores de arquivos. A Sojusz bloqueia o acesso aos dados e exige dinheiro para sua descriptografia. A pesquisa mostrou que destaca arquivos criptografados atribuindo uma sequência aleatória de caracteres, ustedesfil@safeswiss.com endereço de e-mail e o .sojusz extensão. As últimas versões do Sojusz usaram as seguintes extensões: .bec, .nigra, .likeoldboobs, .[BillyHerrington].Gachimuchi, Isso significa um arquivo como 1.pdf será alterado para 1.pdf.[fd4702551a].[ustedesfil@safeswiss.com].sojusz e deixar de ser acessível. Depois que todos os arquivos direcionados são criptografados dessa maneira, o vírus cria um arquivo de texto chamado -----README_WARNING-----.txt (versões posteriores criadas também: !!!HOW_TO_DECRYPT!!!.txt, Horse.txt, README_WARNING_.txt e #HOW_TO_DECRYPT#.txt notas de resgate).

Muito recentemente, os hackers encontraram uma nova vulnerabilidade do Windows para ajudar na penetração de sistemas com malware. A exploração está inerentemente relacionada ao MSDT (Microsoft Support Diagnostic Tool) e permite que os cibercriminosos executem várias ações implantando comandos por meio do console do PowerShell. Foi, portanto, chamado Follina e atribuído a este código de rastreador CVE-2022-30190. De acordo com alguns especialistas respeitáveis ​​que pesquisaram esse problema, a exploração acaba sendo bem-sucedida quando os usuários abrem arquivos maliciosos do Word. Os agentes de ameaças usam o recurso de modelo remoto do Word para solicitar um arquivo HTML de um servidor Web remoto. Depois disso, os invasores obtêm acesso à execução de comandos do PowerShell para instalar malware, manipular dados armazenados no sistema e executar outras ações maliciosas. O exploit também é imune a qualquer proteção antivírus, ignorando todos os protocolos de segurança e permitindo que infecções passem despercebidas. A Microsoft trabalha na solução de exploração e promete lançar uma atualização de correção o mais rápido possível. Portanto, recomendamos que você verifique constantemente seu sistema em busca de novas atualizações e instale-as eventualmente. Antes disso, podemos orientá-lo pelo método de resolução oficial sugerido pela Microsoft. O método é desabilitar o protocolo de URL MSDT, o que evitará que outros riscos sejam explorados até que uma atualização apareça.

Muitas vezes confundidas com um vírus separado, as mensagens que enviam spam aos eventos do Google Agenda estão, na verdade, relacionadas a um aplicativo malicioso/indesejado que pode estar sendo executado no seu dispositivo Android. Muitas vítimas reclamam que as mensagens geralmente aparecem em todo o calendário e tentam persuadir os usuários a clicar em links enganosos. É provável que, após a instalação de um aplicativo indesejado, os usuários com spam no momento tenham concedido acesso a determinados recursos, incluindo permissões para modificar eventos do Google Agenda. Os links podem, portanto, levar a sites externos projetados para instalar malware e outros tipos de infecções. Na verdade, qualquer informação alegada por eles ("vírus grave detectado"; "alerta de vírus"; "limpe seu dispositivo", etc.) é provavelmente falsa e não tem nada a ver com a realidade. Para corrigir isso e evitar que seu calendário fique cheio de mensagens de spam, é importante encontrar e remover um aplicativo que está causando o problema e redefinir o calendário para limpar eventos indesejados.

Também conhecido como R.Ransomware, Rozbeh é uma infecção por ransomware que criptografa os dados armazenados no sistema para chantagear as vítimas para que paguem pela sua recuperação. Durante a criptografia, ele destaca os dados bloqueados atribuindo caracteres aleatórios que consistem em quatro símbolos. Por exemplo, um arquivo como 1.pdf pode mudar para 1.pdf.1ytu, 1.png para 1.png.7ufr, e assim por diante. Dependendo de qual versão do Rozbeh Ransomware fez um ataque ao seu sistema, instruções explicando como os dados podem ser recuperados podem ser apresentadas em notas de texto read_it.txt, readme.txt, ou mesmo em uma janela pop-up separada. Também vale a pena notar que a infecção de resgate mais recente desenvolvida por vigaristas de Rozbeh é chamada Quax0r. Ao contrário de outras versões, ele não renomeia dados criptografados e também exibe suas diretrizes de descriptografia no prompt de comando. Em geral, todas as notas de resgate mencionadas acima contêm padrões idênticos de orientação das vítimas a pagar o resgate - entre em contato com os criadores de malware através do Discord ou, em alguns casos, por e-mail e envie 1 Bitcoin (cerca de US$ 29,000 agora) para o endereço criptográfico dos cibercriminosos . Após o pagamento, os extorsionários prometem enviar um decodificador de arquivos junto com a chave necessária para desbloquear os dados criptografados. Infelizmente, na maioria dos casos, os métodos de criptografia usados ​​pelos cibercriminosos para tornar os arquivos inacessíveis são complexos, tornando a descriptografia manual quase impossível. Você pode experimentá-lo usando alguns instrumentos de terceiros em nosso tutorial abaixo, no entanto, não podemos garantir que eles realmente funcionem.

ZareuS é o nome de uma infecção por ransomware que criptografa arquivos e extorque uma quantia em criptografia das vítimas. Durante a criptografia, o vírus altera a aparência do arquivo usando o .ZareuS extensão. Em outras palavras, se um arquivo como 1.pdf acaba afetado pela infecção, ele será alterado para 1.pdf.ZareuS e redefina seu ícone original também. Depois disso, para orientar as vítimas no processo de descriptografia, os cibercriminosos criam um arquivo de texto chamado HELP_DECRYPT_YOUR_FILES.txt para cada pasta com dados não mais acessíveis. Ele diz que a criptografia ocorreu com o uso de algoritmos RSA fortes. As vítimas são, portanto, instruídas a comprar uma chave de descriptografia especial, que custa 980$ e o valor deve ser enviado para o endereço de criptografia dos cibercriminosos. Depois de fazer isso, as vítimas devem notificar sobre o pagamento concluído escrevendo para lock-ransom@protonmail.com (endereço de e-mail fornecido pelos invasores). Como medida adicional para incentivar as vítimas a pagar o resgate, os extorsionários propõem descriptografar 1 arquivo gratuitamente. As vítimas podem fazer isso e receber um arquivo totalmente desbloqueado para confirmar que a descriptografia realmente funciona. É lamentável dizer isso, mas os arquivos criptografados pelo ZareuS Ransomware são quase impossíveis de descriptografar sem a ajuda de cibercriminosos. Pode ser apenas se o ransomware estiver bugado, contiver falhas ou outras desvantagens que aliviam a descriptografia de terceiros. Um método melhor e garantido para recuperar seus dados é recuperá-los usando cópias de backup. Se estiverem disponíveis em algum armazenamento externo não infectado, você poderá substituir facilmente seus arquivos criptografados por eles.

LokiLok é o nome de uma infecção de resgate. Após a instalação bem-sucedida em um sistema direcionado, ele criptografa arquivos importantes e chantageia as vítimas para que paguem dinheiro por sua descriptografia. Também descobrimos que o LokiLok foi desenvolvido com base em outro vírus ransomware chamado Chaos. Uma vez que a criptografia ocorre, as vítimas podem ver seus dados mudarem com o .LokiLok extensão. Para ilustrar, um arquivo chamado 1.pdf a maioria vai mudar para 1.pdf.LokiLok e redefina seu ícone original. Depois disso, as vítimas não poderão mais acessar seus dados e deverão buscar instruções de descriptografia no read_me.txt arquivo. O vírus também substitui os papéis de parede padrão por uma nova imagem. Os cibercriminosos querem que as vítimas comprem uma ferramenta especial de descriptografia. Para fazer isso, as vítimas devem entrar em contato com os extorsionários usando o endereço de e-mail anexo (tutanota101214@tutanota.com). Antes de comprar o software necessário, também é oferecido o envio de 2 pequenos arquivos - os cibercriminosos prometem descriptografar e enviá-los de volta para provar as habilidades de descriptografia. Além disso, a mensagem também instrui contra a tentativa de usar métodos de recuperação externos, pois pode levar à destruição irreversível dos dados. Quaisquer que sejam as garantias fornecidas pelos desenvolvedores de ransomware, nem sempre é recomendável confiar neles. Muitos enganam suas vítimas e não enviam o software de descriptografia mesmo depois de enviar dinheiro.

Pay Ransomware é, em outras palavras, um criptografador de arquivos que impede que os usuários acessem seus próprios dados. Uma investigação recente confirmou que este vírus pertence a um grupo de desenvolvedores de ransomware conhecido como Xorist. Semelhante a outras infecções desse tipo, o vírus altera todos os arquivos criptografados usando o .Pay extensão. Para ilustrar, um arquivo chamado 1.pdf mudará para 1.pdf.Pay e redefina seu ícone original também. Depois de fazer as coisas com criptografia, Pay Ransomware exibe uma janela pop-up e cria um arquivo de texto intitulado HOW TO DECRYPT FILES.txt. Ambos contêm informações idênticas sobre como retornar o acesso aos arquivos. Diz-se que as vítimas podem restaurar o acesso aos arquivos pagando 50$ ao endereço Bitcoin dos cibercriminosos. Após a conclusão, as vítimas terão que entrar em contato com extorsionários por meio do cliente qTox e receber seu código de descriptografia. Há também um aviso de que 5 tentativas malsucedidas de inserir o código correto resultarão na destruição irreversível dos dados. Depois disso, os vigaristas incentivam as vítimas a serem mais cuidadosas ao fazer o mencionado acima. Além disso, também é dito que nenhum software de terceiros como antivírus ajudará, mas apenas impedirá a descriptografia de dados. Infelizmente, o que eles descrevem em suas mensagens pode ser verdade - alguns cibercriminosos configuram proteção contra tentativas manuais de descriptografar dados bloqueados. Nesse caso, a única opção, se você precisar restaurar seus arquivos, é pagar o resgate necessário ou usar suas próprias cópias de backup do armazenamento externo para compensar a perda.

CryptBIT criptografa arquivos armazenados no sistema, tornando-os inacessíveis e também exige que as vítimas paguem 400EUR pela descriptografia de dados. As infecções que operam dessa maneira são, portanto, categorizadas como ransomware. Durante a criptografia, o CryptBIT destaca os dados bloqueados adicionando uma nova extensão (.cryptbit). Em outras palavras, um arquivo como 1.pdf mudará para 1.pdf.cryptbit e redefina seu ícone original também. A mesma alteração ocorrerá com outros tipos de arquivos criptografados por ransomware. O vírus também altera os papéis de parede da área de trabalho e cria um arquivo de texto chamado CryptBIT-restore-files.txt em cada pasta criptografada. Este arquivo instrui as vítimas sobre como descriptografar seus dados. A nota exibe o texto informando que todos os arquivos foram criptografados e carregados em servidores externos. Diz-se, portanto, que as vítimas podem recuperar seus dados, mas precisam enviar 400EUR (em bitcoins) para o endereço criptográfico anexado. Os cibercriminosos também pedem para incluir o endereço de e-mail da vítima, para o qual prometem enviar o descriptografador de arquivos necessário. Infelizmente, não está claro como as vítimas devem fazer isso. Ao realizar transferências de criptomoedas, muitas vezes (se não sempre) é impossível incluir informações adicionais como e-mail. Assim, esses mal-entendidos técnicos já dão fortes razões contra a confiança dos cibercriminosos por trás do CryptBIT Ransomware. Também é possível que este ransomware seja apenas uma versão piloto, e os cibercriminosos irão distribuir ransomware atualizado algum dia no futuro. Seja o que for, pagar o resgate nem sempre é recomendado.