Vírus

Gyjeb é um vírus ransomware que executa criptografia de dados para extorquir dinheiro das vítimas. É muito semelhante ao Keq4p Ransomware, o que significa que provavelmente eles vêm da mesma família de malware. Assim como Keq4p, Gyjeb Ransomware atribui uma sequência aleatória de símbolos sem sentido junto com seus próprios .gyjeb extensão. Para ilustrar, um arquivo como "1.pdf" mudará sua aparência para algo como 1.pdf.wKkIx8yQ03RCwLLXT41R9CxyHdGsu_T02yFnRHcpcLj_xxr1h8pEl480.gyjeb e redefinir seu ícone original. Depois que todos os arquivos são editados dessa forma, o vírus cria uma nota de texto chamada nTLA_HOW_TO_DECRYPT.txt que envolve instruções de descriptografia. Você pode se familiarizar com esta nota na captura de tela abaixo.

Keq4p é uma infecção de ransomware que criptografa dados pessoais usando algoritmos criptográficos. Esses algoritmos garantem uma forte proteção de dados contra tentativas de descriptografá-los. Os arquivos atacados por ransomware geralmente são fotos, vídeos, músicas, documentos e outros tipos de dados que podem ter algum valor. A maioria dos criptografadores de arquivos altera todos os arquivos afetados atribuindo sua própria extensão. Keq4p faz exatamente o mesmo, mas também anexa uma sequência aleatória de símbolos. Por exemplo, um arquivo como 1.pdf vai mudar para algo como 1.pdfT112tM5obZYOoP4QFkev4kSFA1OPjfHsqNza12hxEMj_uCNVPRWni8s0.keq4p ou similar. A string atribuída é totalmente aleatória e não tem um propósito real. Junto com as mudanças visuais, Keq4p fecha seu processo de criptografia com a criação de zB6F_HOW_TO_DECRYPT.txt, um arquivo de texto contendo instruções de resgate. Você pode dar uma olhada no que ele contém na captura de tela a seguir.

Hydra é uma infecção de ransomware que torna os dados dos usuários inacessíveis ao executar uma criptografia completa. Além de não conseguir acessar os dados, os usuários também podem detectar algumas alterações visuais. Hydra atribui uma nova sequência de símbolos contendo endereços de e-mail de criminosos cibernéticos, ID gerado aleatoriamente atribuído a cada vítima, e o .HIDRA extensão no final. Para ilustrar, um arquivo como 1.pdf mudará sua aparência para [HydaHelp1@tutanota.com][ID=C279F237]1.pdf.HYDRA e redefinir o ícone original em branco. Assim que todos os arquivos terminam criptografados, o vírus promove instruções de resgate para orientar as vítimas durante o processo de recuperação. Isso pode ser encontrado dentro de # FILESENCRYPTED.txt nota de texto, que é criada após a criptografia. Os desenvolvedores do Hydra dizem que as vítimas podem restaurar seus arquivos escrevendo para o endereço de e-mail anexado (HydaHelp1@tutanota.com or HydraHelp1@protonmail.com) Depois disso, os cibercriminosos devem dar mais instruções para comprar a descriptografia de arquivos.

DeltaPlus é um vírus do tipo ransomware que usa algoritmos criptográficos para criptografar dados pessoais. Ele atribui criptografias fortes que são difíceis de decodificar sem ferramentas especiais de descriptografia mantidas pelos próprios cibercriminosos. Para comprar essas ferramentas, as vítimas devem enviar o equivalente a 6,000 dólares em BTC para um endereço criptográfico. O preço da descriptografia também pode ser reduzido para 3,000 dólares se você conseguir concluir o pagamento nas primeiras 72 horas após a infecção. Todas essas informações são divulgadas dentro da nota de texto chamada Ajude a restaurar seus arquivos.txt, que é criado assim que a criptografia dos arquivos é feita. Delta Plus anexa o .delta extensão para todos os arquivos afetados. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.delta e perder seu ícone original. Após essas mudanças, os usuários não poderão mais acessar seus arquivos até que paguem o resgate exigido.

Descoberto por Tomas Meskauskas, o Koxic é considerado uma infecção de ransomware que opera criptografando dados armazenados no PC. Em outras palavras, a maioria dos arquivos, como fotos, vídeos, músicas e documentos, será bloqueada pelo vírus para impedir que os usuários os acessem. Todos os arquivos criptografados também são novos .KOXICO or .KOXIC_PLCAW extensões. Isso significa arquivos criptografados como 1.pdf mudará para 1.pdf.KOXIC or 1.pdf.KOXIC_PLCAW. O mesmo padrão será aplicado aos dados residuais criptografados por ransomware. Depois de fazer as coisas com criptografia, o vírus cria uma nota de texto que explica as instruções de resgate. Estas instruções afirmam que as vítimas devem entrar em contato com os desenvolvedores via koxic@cock.li or koxic@protonmail.com e-mails com sua identificação pessoal. Essa identificação pode ser encontrada anexada à nota de resgate. Se isso não for visível, há uma chance de que alguma versão do Koxic Ransomware que se infiltrou em seu sistema ainda esteja em desenvolvimento e sendo testada.

Pornô é classificado como uma infecção de ransomware que visa a criptografia de dados pessoais. Arquivos como fotos, documentos, músicas e vídeos provavelmente estão sob o escopo da criptografia do Porn Ransomware. Para diferenciar os arquivos criptografados dos regulares, os desenvolvedores atribuem o .pornô extensão para cada amostra comprometida. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.porn e redefinir seu ícone original. Depois disso, o vírus começa a exigir o chamado resgate para recuperar seus dados. Essas informações podem ser vistas em uma janela pop-up ou nota de texto chamada RECUPERAR __. Porn.txt. Dentro dessa nota e janela pop-up, os cibercriminosos exibem o número de arquivos que eles descriptografaram. Para apagar as cifras atribuídas, os desenvolvedores do Porn pedem que as vítimas enviem 1 BTC para o endereço criptográfico anexado e enviem-lhes um e-mail com o ID da transação posteriormente. Infelizmente, poucas vítimas podem pagar o preço de 1 BTC (42,000 USD).

BlackByteGenericName é o nome de um armário de dados que criptografa arquivos armazenados em um dispositivo. Esse tipo de malware é mais conhecido como ransomware porque extorquia dinheiro das vítimas para a recuperação de dados. Mesmo que o BlackByte seja novo e pouco conhecido, há detalhes suficientes para diferenciá-lo de outras infecções. Um deles é o .blackbyte extensão que é anexada a cada arquivo criptografado. Por exemplo, uma peça como 1.pdf mudará sua extensão para 1.pdf.blackbyte e redefinir o ícone original. A próxima etapa após criptografar todos os dados disponíveis é a criação da nota de resgate. BlackByte gera o BlackByte_restoremyfiles.hta arquivo, que exibe detalhes de recuperação. No interior, as vítimas são instruídas a contatar os criminosos cibernéticos por e-mail. Esta ação é obrigatória para receber mais instruções sobre como comprar um descriptografador de arquivo. Esse descriptografador é único e mantido apenas por cibercriminosos. O preço do resgate pode variar de pessoa para pessoa, chegando a centenas de dólares. Lembre-se de que pagar o resgate é sempre um risco de perder seu dinheiro à toa. Muitos extorsionários tendem a enganar suas vítimas e não enviar nenhum instrumento de descriptografia, mesmo depois de receber o dinheiro solicitado. Infelizmente, não há decodificadores de terceiros que podem garantir 100% de descriptografia dos arquivos BlackByte.

Rânion é um grupo de malware que desenvolve e espalha infecções de ransomware. Sua versão recente é chamada de R44s, que criptografa os dados usando algoritmos criptográficos fortes e exige dinheiro para resgatá-los. As vítimas podem detectar que seus arquivos foram criptografados por meios visuais. As primeiras versões do Ranion Ransomware descobertas em Novemver de 2017 usavam .resgate extensão. Agora o vírus atribui a planície .r44s extensão a todas as peças comprometidas. Aqui está um exemplo rápido de como os arquivos ficarão após uma criptografia bem-sucedida - 1.pdf.r44s, 1.jpg.r44s, 1.xls.r44se assim por diante, dependendo do nome do arquivo original. Logo após o término desse processo de criptografia, o R44s cria um arquivo HTML chamado README_TO_DECRYPT_FILES.html.