Vírus

Originário da Itália, Giuliano é um programa do tipo ransomware configurado com fortes algoritmos criptográficos (AES-256) para executar criptografia segura de dados. Ao bloquear o acesso aos arquivos pessoais, os extorsionários tentam enganar as vítimas, fazendo-as pagar pela descriptografia dos dados. As vítimas podem detectar que seus arquivos foram criptografados simplesmente olhando para a extensão - o vírus anexa a nova extensão ".Giuliano" para destacar os dados bloqueados. Isso significa um arquivo como 1.pdf mudará para 1.pdf.Giuliano e redefinir seu ícone original. As informações sobre a recuperação de arquivos podem ser encontradas em uma nota de texto chamada README.txt. As instruções de descriptografia dentro deste arquivo são representadas no idioma italiano. Os cibercriminosos informam as vítimas sobre a infecção bem-sucedida e as incentivam a seguir as instruções listadas. Eles dizem que você deve visitar uma página do GitHub para preencher alguns formulários. Depois disso, os desenvolvedores de malware provavelmente entrarão em contato com suas vítimas e pedirão um resgate em dinheiro. Normalmente, é solicitada a execução do pagamento em BTC ou outra criptomoeda usada pelos desenvolvedores. Infelizmente, as cifras aplicadas por Giuliano Ransomware são fortes e dificilmente decifráveis ​​com ferramentas de terceiros. Por enquanto, a melhor maneira de recuperar seus arquivos além de colaborar com vigaristas é usar cópias de backup.

Sendo um vírus ransomware perigoso, Torre visa a criptografia de dados e tenta chantagear os usuários para que paguem o resgate. O vírus é fácil de distinguir de outras versões, pois atribui o .torre extensão para todos os dados bloqueados. Isso significa um arquivo como 1.pdf mudará para 1.pdf.rook e redefinir seu ícone original após a criptografia bem-sucedida. Logo depois disso, Rook Ransomware cria uma nota de texto chamada Como restaurar seus arquivos.txt mostrando aos usuários como eles podem recuperar os dados. O conteúdo da nota de texto diz que você pode restaurar o acesso a todos os dados apenas entrando em contato com vigaristas e pagando o resgate em dinheiro. A comunicação deve ser estabelecida por e-mail (rook@onionmail.org; segurançaRook@onionmail.org) ou link do navegador TOR anexado à nota. Ao escrever uma mensagem para criminosos cibernéticos, as vítimas podem enviar até 3 arquivos (não mais que 1 MB) e descriptografá-los gratuitamente. Dessa forma, os cibercriminosos comprovam suas habilidades de descriptografia junto com sua confiabilidade até certo ponto. Além disso, se você entrar em contato com extorsionários dentro de 3 dias, os cibercriminosos oferecerão um desconto de 50% no preço da descriptografia. A menos que você se encaixe neste prazo, os desenvolvedores do Rook começarão a vazar seus arquivos para sua rede para abusar deles nas páginas darknet posteriormente. Eles também dizem que nenhum instrumento de terceiros o ajudará a recuperar os arquivos.

ArpoonLocker é o nome de uma infecção de ransomware recente relatada por usuários em fóruns de malware. O vírus executa a criptografia de dados com algoritmos AES-256 e RSA-1024, tornando todos os dados restritos criptograficamente seguros. Como resultado dessa mudança de configuração, os usuários não poderão mais acessar seus próprios dados armazenados em dispositivos infectados. O HarpoonLocker atribui o .bloqueado extensão, que é comumente usada por muitas outras infecções de ransomware. Isso o torna mais genérico e às vezes difícil de diferir de outras infecções como essa. Também cria uma nota de texto (restaurar-arquivos.txt) contendo instruções de resgate. Os desenvolvedores dizem que todos os dados foram criptografados e vazados para seus servidores. A única maneira de reverter isso e ter os arquivos de volta com segurança é concordar em pagar o resgate. As vítimas são instruídas a baixar o qTOX messenger e entrar em contato com extorsionários lá. Também existe a opção de tentar descriptografar 3 arquivos bloqueados gratuitamente. Esta é uma garantia dada pelos cibercriminosos para provar que eles são confiáveis. Infelizmente, não há nenhum outro contato além do qTOX que as vítimas possam usar para entrar em uma discussão com os cibercriminosos. Muitos pesquisadores cibernéticos brincaram que HarpoonLocker também deveria ser chamado de qTOX Ransomware sem nome, uma vez que as vítimas não podem falar com ninguém. Por esse e muitos outros motivos, é altamente recomendável não atender aos requisitos listados e pagar o resgate. Muitas vezes, os cibercriminosos enganam suas vítimas e não enviam nenhuma ferramenta de descriptografia, mesmo depois de receber o dinheiro.

Encontrado e pesquisado pela primeira vez por um especialista independente chamado S! R !, NoCry é um programa de ransomware projetado para executar a criptografia de dados. É um esquema muito popular empregado por desenvolvedores de ransomware para extorquir dinheiro das vítimas mediante restrição bem-sucedida de dados. Por enquanto, existem duas versões conhecidas de NoCry que diferem por extensões atribuídas aos dados bloqueados. É também .Cry or .IHA extensão que será anexada aos arquivos criptografados. Por exemplo, 1.pdf mudará sua aparência para 1.pdf.Cry or 1.pdf.IHA e redefina seu ícone de atalho para branco após ser afetado por malware. Os extorsionários por trás do NoCry Ransomware exigem pagamento para retornar os dados por meio de um arquivo HTML chamado How To Decrypt My Files.html. Ele também abre à força uma janela pop-up com a qual as vítimas podem interagir para enviar o resgate e descriptografar seus dados. O conteúdo de ambos é idêntico e informa as vítimas sobre o mesmo. NoCry dá cerca de 72 horas para enviar 100 $ em BTC para o endereço criptográfico anexado. Se nenhum dinheiro for entregue dentro do cronograma alocado, NoCry excluirá seus arquivos para sempre. Esta é uma estratégia de intimidação que visa apressar as vítimas e pagar o resgate exigido com mais rapidez.

ResgateAgora é outro vírus criptografador de arquivos lançado por cibercriminosos para extorquir dinheiro de vítimas desesperadas. É muito semelhante ao já discutido Polaris ransomware uma vez que executa o mesmo padrão de criptografia com algoritmos AES e RSA. Outra semelhança compartilhada entre esses ataques de ransomware é que eles não anexam nenhuma nova extensão aos dados criptografados. Apesar dos arquivos não apresentarem alterações visuais significativas, os usuários ainda não conseguirão abri-los. O vírus também cria um arquivo de texto chamado LEIA-ME PARA DESBLOQUEAR ARQUIVOS.txt que apresenta instruções de descriptografia. Os desenvolvedores dizem que as vítimas podem restaurar os dados apenas com a compra de uma chave especial. O preço a ser pago é igual a 0.0044 BTC, que é aproximadamente 250 $ no momento da redação deste artigo. Lembre-se de que as taxas de criptomoedas sempre mudam, então há uma chance de você ter que pagar mais ou menos amanhã. Após o envio da quantidade necessária de BTC, o usuário deverá entregar o comprovante da transação no e-mail anexo (ransomnow@yandex.ru). Além disso, os criminosos listam alguns recursos onde comprar a criptomoeda necessária, se você for novo no mundo da criptografia. Também é fortemente alertado contra a execução de manipulações de arquivos você mesmo ou com a ajuda de ferramentas de terceiros.

Descoberto por MalwareHunterTeam, AnarchyGrabber é um tipo de vírus projetado para Discord Comercial. Destina-se a alterar o index.js arquivo dentro do diretório Discord (%AppData%\Discord\[version]\modules\discord_desktop_core\) e sequestrar seus dados. Ao alterar o código interno do arquivo original, ele permite que os cibercriminosos carreguem arquivos JavaScript maliciosos. Este arquivo deve conter apenas uma linha: module.exports = require('./core.asar');. Todo o resto é de um trojan. Para se livrar do malware, desinstale o Discord e verifique se há %AppData%\Roaming\discord diretório (se existir, exclua-o) e, em seguida, reinstale o cliente. Se isso não ajudar, leia o guia completo abaixo. Portanto, quando os usuários fazem login em suas contas do Discord, os extorsionários recebem acesso aos seus contatos, contas, servidores, mensagens e outros conteúdos baseados em discord. Muitas vezes, é difícil detectar o AnarchyGrabber, pois ele esconde sua atividade por trás dos arquivos Discord, que são ignorados pelo software anti-malware. Se você não conseguir removê-lo manualmente, ajudaremos você a fazer isso abaixo.

Descafeinado é classificado como um programa de ransomware projetado para chantagear as vítimas para que paguem pela recuperação de dados bloqueados. Seus primeiros ataques foram registrados no início de novembro de 2021 e continuam ocorrendo entre vários usuários. O vírus emprega sua própria extensão chamada .descafeinado que é atribuído durante a criptografia. Um exemplo de como os arquivos criptografados ficariam após a criptografia é "1.pdf.decaf". É impossível piscar a infecção porque todos os arquivos perdem sua acessibilidade e também os ícones. Após a instalação bem-sucedida de cifras criptográficas, o Decaf cria uma nota de texto chamada README.txt que contém informações sobre como recuperar seus dados. Os cibercriminosos dizem que todos os dados do servidor e do PC foram criptografados com algoritmos fortes, impedindo qualquer descriptografia de terceiros. A única maneira possível de restaurar o acesso a todos os dados é usar um descriptografador "universal" especial armazenado pelos extorsionários. Para aprender mais instruções sobre a descriptografia, as vítimas devem escrever para o endereço de e-mail em anexo (22eb687475f2c5ca30b@protonmail.com) A partir daí, provavelmente será informado sobre o preço do software de descriptografia e as formas de obtê-lo. Como regra, os cibercriminosos solicitam que suas vítimas enviem quantias variáveis ​​de dinheiro em alguma criptomoeda para suas carteiras. O intervalo pode variar de centenas a milhares de dólares para a restauração de dados.

Polaris é um programa de ransomware que usa uma combinação de algoritmos AES e RSA para criptografar os dados dos usuários. Ao contrário de outras infecções deste tipo, Polaris não adiciona nenhuma extensão aos arquivos criptografados. A única coisa que muda é a acessibilidade aos arquivos - as vítimas não são mais elegíveis para abrir os dados armazenados. Para resolver isso, os desenvolvedores do Polaris encorajam suas vítimas a ler as instruções de recuperação em um arquivo chamado AVISO.txt. A nota de texto é criada no final da criptografia e diz que você deve entrar em contato com extorsionários usando comunicação por e-mail (pol.aris@opentrash.com or pol.aris@tutanota.com) Também existe a opção de adicionar cibercriminosos ao Discord. Ao escrever uma mensagem, as vítimas devem informar o nome da empresa que foi atacada. Essa é uma pista de que a Polaris visa redes de negócios para que elas possam pagar o resgate necessário. O conselho mais comum que você pode encontrar na web sobre pagamentos de resgate é evitá-los ao máximo. Isso é verdade porque muitos cibercriminosos tendem a enganar suas vítimas e não enviar ferramentas de descriptografia eventualmente.