Vírus

Anime é o nome de um criptovírus. Ele é projetado para tornar os dados armazenados no sistema inacessíveis e não mais operáveis. Os usuários infectados com ransomware podem ver o processo de criptografia observando os arquivos restritos - todos eles acabam alterados com o .anime extensão. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.anime e redefina seu ícone original também. Depois de fazer as coisas com criptografia, o vírus lança instruções de resgate sobre como recuperar os dados. Eles podem ser encontrados dentro de um arquivo de texto chamado I_LOVE_ANIME.txt. Conforme declarado na nota, as vítimas têm 2 dias para entrar em contato com os cibercriminosos em zdarovachel@gmx.at e pagar pela descriptografia dos arquivos. Caso as vítimas não cumpram o prazo alocado, todos os dados criptografados serão publicados em recursos da dark web para futuros abusos. Além disso, os desenvolvedores de ransomware também desaconselham a modificação dos arquivos ou a tentativa de descriptografá-los sem criminosos cibernéticos. No momento em que escrevo este artigo, não há maneira garantida de descriptografar dados gratuitamente sem a ajuda dos desenvolvedores iniciais.

Kashima (KashimaWareGenericName) é um programa de ransomware - o tipo de software malicioso projetado para criptografar dados e exigir dinheiro para seu retorno. Ao contrário de outras infecções desse tipo, o vírus tem como alvo formatos de arquivo específicos e bastante incomuns - .config, .cfg, .js, .NOOB, .lua, .lw e .tryme também. Portanto, modifica-os com a .KASHIMA extensão. Por exemplo, um arquivo como 1.js mudará para 1.js.KASHIMA, 1.cfg para 1.cfg.KASHIMA e assim por diante com outros dados afetados. Assim que esse processo é concluído, Kashima exibe uma mensagem pop-up (KashimaWare AVISO!) em toda a tela.

Também conhecido como FoxBladeName, Limpador hermético é um vírus devastador projetado para apagar dados armazenados no sistema e impedir que as máquinas respondam ou funcionem completamente. Malware com esses recursos é geralmente conhecido como limpadores de disco. O HermeticWiper foi descoberto atacando órgãos governamentais e estruturas empresariais na Ucrânia em 24 de fevereiro. Muitos pesquisadores acham que HermeticWiper recebeu esse nome com base em um certificado digital roubado de uma empresa chamada Hermetica Digital Ltd. Esse certificado permite que o vírus se disfarce como software legítimo para contornar a detecção do Windows. Após a infiltração bem-sucedida, o HermeticWiper corrompe a maioria dos dados armazenados e também exclui as Cópias de Sombra do Windows. Essa funcionalidade leva à perda permanente de dados, tornando as vítimas incapazes de recuperá-los posteriormente. Como mencionado, HermeticWiper torna os sistemas infectados praticamente inutilizáveis ​​- ele faz isso interrompendo o Master Boot Record (MBR), um importante setor do Windows responsável por iniciar corretamente o sistema. Contanto que o HermeticWiper mantenha o controle do seu sistema, ele pode fazer quase o que quiser - instalar malware adicional, lançar ataques DDoS, gravar pressionamentos de tecla, áudio, vídeo, abusar de recursos do sistema para minerar criptomoedas, implantar comandos remotos e muitas outras ações disruptivas. HermeticWiper não é o único, mas um dos poucos vírus distribuídos nesta campanha geopolítica na Ucrânia.

Desculpe, são apenas negócios é o nome de um vírus ransomware. Assim como outras infecções desse tipo, ele criptografa dados pessoais e chantageia as vítimas para que paguem um resgate. O processo de criptografia pode ser facilmente detectado observando os arquivos afetados. Sorryitsjustbusiness altera suas extensões originais para caracteres aleatórios e redefine os ícones para branco. Para ilustrar, um arquivo como 1.pdf pode mudar para 1.pdf.ws9y, 1.png para 1.png.kqfb, e assim por diante com outras extensões e arquivos aleatórios. Após a criptografia bem-sucedida, o vírus cria uma nota de texto chamada read_it.txt e instala novos papéis de parede da área de trabalho. Tanto a nota de texto quanto os papéis de parede exibem informações sobre como recuperar os dados. As vítimas dizem que é necessário comprar uma chave exclusiva para descriptografar seus arquivos. O custo desta chave é de $ 150,000 a serem pagos em Bitcoin para o endereço de criptografia anexado. Após a transferência, as vítimas devem informar os vigaristas enviando uma mensagem para o seu endereço de e-mail (desculpeitsjustbusiness@protonmail.com). Se as vítimas não fizerem isso dentro de 24 horas após serem infectadas, o preço da descriptografia dobrará. Também é mencionado que os arquivos criptografados serão excluídos após 48 horas de inação das vítimas. Com base na quantidade exigida de resgate, podemos supor que o objetivo da Sorryitsjustbusiness é definido em empresas com um bom nível de ganhos. Como regra, não é aconselhável confiar em cibercriminosos e pagar o resgate que eles desejam.

Ser parte da pó família, ARMÁRIO ANUBIZ é uma infecção de ransomware projetada para criptografar dados. Ele faz isso usando algoritmos de criptografia seguros e modificando os nomes dos dados afetados com o .lomer extensão. Para ilustrar, um arquivo chamado 1.pdf mudará para 1.pdf.lomer e redefina seu ícone original em branco. Depois de restringir com sucesso o acesso aos dados, o vírus chantageia as vítimas para que paguem um resgate. Isso é feito através do How To Restore Your Files.txt arquivo de texto que é criado em dispositivos comprometidos. O arquivo diz que todos os arquivos valiosos foram criptografados e copiados para servidores de cibercriminosos, todos os backups também foram excluídos. As vítimas podem potencialmente restaurar seus dados comprando um software especial de descriptografia oferecido pelos invasores. É orientado a estabelecer contato com cibercriminosos usando seu endereço de e-mail para obter mais detalhes sobre a descriptografia. Os usuários infectados também podem anexar um arquivo em sua mensagem e descriptografar gratuitamente. Se as vítimas ignorarem esses pedidos e demorarem a pagar o resgate, os cibercriminosos ameaçam começar a vazar arquivos coletados para recursos da dark web.

Qmam4 é uma infecção de alto risco categorizada como um criptovírus. A razão pela qual é chamado dessa maneira está em seu comportamento pós-ataque - o vírus exige que as vítimas paguem uma quantia em dinheiro em criptomoeda ao bloquear o acesso aos dados. Essas infecções também são conhecidas como ransomware. Eles criptografam dados pessoais e chantageiam as vítimas para que paguem o resgate. Durante a criptografia, o Qmam4 anexa uma sequência de caracteres aleatórios e o novo .qmam4 extensão para cada arquivo afetado. Por exemplo, 1.pdf mudará para 1.pdf.{random sequence}.qmam4 deixando de ser acessível. Em seguida, o Qmam4 cria um arquivo de texto chamado C3QW_HOW_TO_DECRYPT.txt que ilustra como as vítimas podem desbloquear seus dados. Diz-se que as vítimas podem descriptografar e impedir que dados importantes sejam vendidos em recursos da dark web. Para fazer isso, as vítimas são instruídas a entrar em contato com criminosos cibernéticos usando o link Tor. Depois de entrar em contato com os desenvolvedores, eles supostamente dirão para você enviar dinheiro em criptomoeda e recuperar uma ferramenta especial de descriptografia posteriormente. Caso as vítimas se recusem a seguir as instruções, os dados coletados serão vazados para as mãos de figuras de terceiros. Infelizmente, a colaboração com cibercriminosos pode ser a única maneira de descriptografar seus dados e evitar dados vazados publicamente. É menos provável que alguma ferramenta de terceiros consiga descriptografar seus dados gratuitamente sem a ajuda de invasores.

ALBASA é um vírus do tipo ransomware projetado para criptografar dados armazenados no sistema e chantagear as vítimas para que paguem dinheiro pelo seu retorno. Durante a criptografia, todos os arquivos adquirem o novo .ALBASA extensão e redefina seus ícones originais em branco. Isso também é acompanhado pela criação de RESTORE_FILES_INFO.txt - uma nota de texto contendo instruções sobre como recuperar dados bloqueados.

Cantopeno é uma infecção por ransomware que foi descoberta recentemente. Ele criptografa arquivos pessoais adicionando o .cantopen extensão e criar o HELP_DECRYPT_YOUR_FILES.txt arquivo de texto para chantagear as vítimas a pagar o resgate. Para ilustrar, um arquivo chamado 1.pdf será alterado para 1.pdf.cantopen e solte seu ícone de atalho original. Essa alteração será aplicada a todos os dados direcionados, tornando-os não mais acessíveis.