Vírus

RansomHub Ransomware é um tipo de software malicioso que se enquadra na categoria de vírus de criptografia de arquivos. Ele foi projetado para se infiltrar em sistemas de computador, criptografar arquivos e exigir resgate pela chave de descriptografia. Ao contrário do ransomware tradicional, que criptografa arquivos e exige pagamento, o RansomHouse, associado ao RansomHub, concentra-se em violar redes por meio de vulnerabilidades para roubar dados e coagir as vítimas a pagar sem necessariamente usar criptografia. O ransomware RansomHub pode adicionar várias extensões de arquivo aos arquivos criptografados, como .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky ou uma extensão de 6 a 7 comprimentos que consiste em caracteres aleatórios. Os algoritmos de criptografia específicos usados ​​pelo RansomHub não são detalhados, mas o ransomware normalmente emprega métodos de criptografia fortes, como AES ou RSA, para evitar a descriptografia não autorizada. O RansomHub cria notas de resgate com instruções para as vítimas sobre como pagar o resgate e potencialmente recuperar seus arquivos. Nomes comuns de arquivos de notas de resgate incluem README_{string aleatória}.txte vários outros. A localização da nota de resgate normalmente está nos diretórios de arquivos criptografados.

BlackLegion Ransomware é um tipo de software malicioso projetado para criptografar arquivos no computador da vítima, tornando-os inacessíveis e exigindo um resgate pela chave de descriptografia. Uma vez instalado em um computador, o BlackLegion criptografa arquivos e acrescenta uma extensão exclusiva aos nomes dos arquivos. Quaisquer arquivos criptografados com BlackLegion Ransomware terão 8 caracteres aleatórios seguidos do e-mail da vítima e do .BlackLegion extensão. Por exemplo, um arquivo chamado photo.jpg pode ser renomeado para photo.jpg.[random-numbers].[Blackdream01@zohomail.eu].BlackLegion após a criptografia. BlackLegion cria um pedido de resgate na forma de um arquivo de texto, normalmente denominado DecryptNote.txt ou uma variante deste. Esta nota inclui instruções sobre como pagar o resgate, geralmente em criptomoeda, e pode oferecer a descriptografia de um único arquivo gratuitamente como prova de que os invasores podem restaurar os arquivos da vítima.

WantToCry Ransomware é um tipo de vírus de criptografia, que é um subconjunto de malware que criptografa arquivos no computador da vítima e exige um resgate pela chave de descriptografia. Este criptografador específico tem como alvo dispositivos NAS. O ransomware WantToCry anexa o .want_to_cry extensão para os arquivos que ele criptografa. Isso marca claramente quais arquivos foram comprometidos e estão inacessíveis sem a chave de descriptografia. Embora o método de criptografia específico usado pelo WantToCry não seja detalhado na fonte fornecida, o ransomware geralmente usa algoritmos de criptografia fortes como AES (Advanced Encryption Standard) ou RSA (Rivest–Shamir–Adleman) para bloquear arquivos, tornando-os inacessíveis sem uma chave de descriptografia exclusiva. . É um vírus criptográfico que bloqueia arquivos e coage as vítimas a pagar para recuperar o acesso aos seus dados. O WantToCry cria uma nota de resgate chamada !want_to_cry que é deixado no computador da vítima. Esta nota informa à vítima que seus dados foram criptografados e fornece instruções sobre como pagar o resgate, que é fixado em US$ 300. As vítimas são instruídas a baixar e instalar o qTOX, criar um perfil e entrar em contato com os cibercriminosos por meio do chat do qTOX para providenciar o pagamento.

Mallox Ransomware, também conhecido como “TargetCompany” ou “Fargo”, é um software malicioso que criptografa arquivos no computador da vítima e exige um resgate pela chave de descriptografia. Está ativo desde meados de 2021 e opera sob um modelo Ransomware-as-a-Service (RaaS), aproveitando fóruns e mercados clandestinos para recrutar afiliados e anunciar seus serviços. Mallox criptografa arquivos usando o algoritmo de criptografia ChaCha20 e adiciona várias extensões de arquivo aos arquivos criptografados, como .mallox, .mallab, .ma1x0, .malox, .malloxx, .maloxx e outros. Ele também usa os nomes das vítimas como extensão em alguns casos. O ransomware lança uma nota de resgate (HOW TO RESTORE FILES.txt) em todos os diretórios da unidade da vítima, explicando a infecção e fornecendo informações de contato dos invasores. A nota instrui as vítimas a enviarem sua identificação pessoal ao endereço de e-mail dos invasores para receber instruções de pagamento pela ferramenta de descriptografia.

Press Ransomware é um tipo de malware que se enquadra na categoria de cripto-ransomware, projetado para criptografar dados em computadores infectados, tornando os arquivos inacessíveis aos usuários. Os invasores exigem então o pagamento de um resgate em troca da chave de descriptografia que permitiria às vítimas recuperar o acesso aos seus arquivos criptografados. Depois de criptografar os arquivos, Press Ransomware anexa .press, .dwarf or .spfre extensões para os nomes dos arquivos, tornando-os facilmente identificáveis. Por exemplo, um arquivo originalmente chamado 1.jpg seria renomeado para 1.jpg.press após a criptografia. O algoritmo de criptografia específico usado pelo Press Ransomware não é detalhado nos resultados de pesquisa fornecidos, mas é comum que esse malware use métodos de criptografia robustos, como AES ou RSA, para evitar a descriptografia não autorizada. Após a conclusão do processo de criptografia, o Press Ransomware deixa cair uma nota de resgate chamada RECOVERY NFO.txt no computador da vítima. Esta nota informa à vítima que seus arquivos foram criptografados e que dados confidenciais foram exfiltrados. Os invasores ameaçam vender ou vazar o conteúdo roubado online se o resgate não for pago. A nota também oferece à vítima a oportunidade de enviar alguns arquivos criptografados aos invasores para descriptografia gratuita, como prova de que eles podem descriptografar os arquivos.

DiskStation Security Ransomware é um tipo de malware direcionado especificamente a dispositivos Synology NAS (Network Attached Storage), que são frequentemente usados ​​para armazenar grandes quantidades de dados, incluindo backups e arquivos pessoais. O principal objetivo deste ransomware, como outros, é criptografar arquivos no sistema infectado e exigir um resgate da vítima em troca da chave de descriptografia. As extensões de arquivo visadas pelo DiskStation Security Ransomware não são detalhadas nos resultados da pesquisa fornecidos. No entanto, o ransomware geralmente tem como alvo uma ampla variedade de tipos de arquivos, especialmente aqueles associados a documentos, imagens, vídeos e bancos de dados importantes. O método de criptografia usado também não é especificado, mas o AES (Advanced Encryption Standard) é comumente empregado por ransomware por sua robustez. Após a criptografia, o ransomware adiciona extensões aleatórias aos arquivos. Após a criptografia bem-sucedida dos arquivos, o ransomware normalmente deixa uma nota de resgate (!!Read Me!!.txt) na área de trabalho ou nos diretórios afetados. Esta nota contém instruções para a vítima sobre como pagar o resgate e muitas vezes inclui ameaças de destruição ou exposição de dados se as exigências não forem atendidas.

RCRU64 Ransomware é um tipo de malware que criptografa arquivos no computador da vítima e exige resgate pela chave de descriptografia. Ele se espalha principalmente por meio de anexos de e-mail em ataques de phishing, downloads de software malicioso e exploração de vulnerabilidades, especialmente por meio de senhas fracas do Remote Desktop Protocol (RDP). RCRU64 altera os nomes dos arquivos criptografados anexando o ID da vítima, endereço de e-mail e uma extensão específica. As extensões conhecidas associadas ao RCRU64 incluem .HM8 e outras variantes como ".TGH", ".03rK", ".q6BH" e ".IalG. O ransomware usa algoritmos de criptografia fortes para bloquear arquivos no computador infectado. Embora detalhes específicos sobre o método de criptografia não sejam fornecidos no resultados de pesquisa, o ransomware normalmente usa uma combinação de criptografia simétrica (por exemplo, AES) e assimétrica (por exemplo, RSA) para proteger os arquivos, tornando quase impossível a descriptografia sem a chave. RCRU64 cria notas de resgate denominadas Restore_Your_Files.txt e ReadMe.hta, que informa às vítimas que seus arquivos foram criptografados e fornece instruções de pagamento. As notas alertam contra a tentativa de descriptografar arquivos de forma independente e oferecem a descriptografia de alguns arquivos como prova antes do pagamento ser feito.

Proton é uma infecção de ransomware. O objetivo deste vírus é executar a criptografia de dados potencialmente críticos e, em seguida, exigir dinheiro para sua descriptografia completa. Ao fazer isso, o Proton também altera os arquivos visualmente - um arquivo afetado com aquisição kigatsu@tutanota.com endereço de e-mail, ID da vítima e .Proton or .kigatsu extensão para arquivos criptografados. Por exemplo, um arquivo como 1.pdf vai virar para se parecer com algo como 1.jpg.[kigatsu@tutanota.com][719149DF].kigatsu. Após essa alteração, as vítimas não poderão mais acessar seus arquivos, independentemente das modificações feitas. Depois disso, o vírus solta o README.txt nota de texto, que contém instruções de descriptografia. Diz-se que os dados da vítima foram criptografados (usando algoritmos AES e ECC) e roubados por cibercriminosos. A palavra “roubado” provavelmente sugere que os dados criptografados foram copiados para os servidores dos cibercriminosos e podem ser abusados ​​a qualquer momento, a menos que o resgate seja pago. Os atores da ameaça incentivam suas vítimas a contatá-los via Telegram ou e-mail e adquirir o serviço de descriptografia. Além disso, as vítimas também podem enviar um arquivo (menos de 1 MB) e descriptografá-lo gratuitamente. Desta forma, os cibercriminosos demonstram a sua fiabilidade, bem como a sua capacidade de devolver o acesso aos dados bloqueados. No final da mensagem de resgate, os extorsionistas apresentam alguns avisos sobre os riscos de tentar descriptografar arquivos sem a ajuda de desenvolvedores de ransomware.