Vírus

Descoberto por um pesquisador de malware chamado S!Ri, Artemis pertence à família de ransomware PewPew. As fraudes por trás dessa família espalharam uma série de infecções de alto risco que executam a criptografia de dados. Artemis é a variante mais recente do criptografador de arquivos que corta o acesso à maioria dos dados armazenados usando algoritmos criptográficos multicamadas. Esses algoritmos tornam os dados totalmente criptografados, o que impede que os usuários os abram. Além disso, os arquivos criptografados bloqueados por Artemis também são alterados visualmente. Por exemplo, um arquivo como 1.pdf vai mudar para algo como 1.pdf.id-victim's_ID.[khalate@tutanota.com].artemis e redefinir seu ícone original. Esta string consiste na identificação das vítimas, khalate@tutanota.com endereço de e-mail, e .artemis extensão no final. Então, assim que a criptografia chega ao fim, Artemis avisa o info-decrypt.hta para aparecer em toda a tela. Versões recentes do uso de malware ReadMe- [ID da vítima] .txt nome da nota de resgate e uso .final e .999 extensões (1.pdf.id[victim's_ID].[UltimateHelp@techmail.info].ultimate e 1.pdf.id [ID_da_vítima]. [restauradoisscus@gmail.com] .999).

Bom Dia é um programa malicioso classificado como ransomware. Seu principal objetivo é ganhar dinheiro com as vítimas cujos dados foram criptografados com cifras fortes. Normalmente, as vítimas acabam sabendo da infecção depois que GoodMorning atribui uma nova extensão complexa aos arquivos comprometidos (terminando com .Bom Dia, .BLOQUEADO or .REAL). Por exemplo, 1.pdf e outros arquivos armazenados em um sistema serão alterados para este padrão 1.pdf.Id(045AEBC75) Send Email(Goood.Morning@mailfence.com).GoodMorning or .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED. O ID dentro das extensões será diferente individualmente, pois é exclusivo para cada uma das vítimas. Então, uma vez que todos os arquivos terminam criptografados e visualmente alterados, o vírus cria notas de texto chamadas Bom dia.txt, LeiaIt.txt or ReadMe.txt. Destina-se a explicar instruções mais amplas sobre como recuperar seus dados.

Pagar é um programa de ransomware que infecta sistemas Windows para criptografar dados pessoais. Afeta a configuração dos arquivos armazenados tornando-os totalmente inacessíveis. Isso significa que qualquer tentativa de abrir os arquivos será negada devido à criptografia. Além das mudanças de configuração, o Pagar Ransomware também altera os dados por meios visuais - atribuindo o .pagar40br @ gmail.com extensão para cada arquivo sob criptografia. Por exemplo, um arquivo como 1.pdf mudará para 1.pdf.pagar40br@gmail.com e redefinir seu ícone original para branco. Depois que todos os arquivos terminam criptografados, Pagar cria uma nota de resgate chamada Aviso Urgente.txt, que explica como recuperar os dados. Os desenvolvedores de ransomware estão sendo concisos e dizem que você tem 72 horas para enviar 0.035 BTC para a carteira anexada. Logo após a conclusão do pagamento, as vítimas devem entrar em contato com os desenvolvedores através de pagar40br@gmail.com, anexando seu próprio endereço de carteira e ID exclusivo (escrito na nota). Infelizmente, não há nenhuma informação sobre se os desenvolvedores do Pagar são confiáveis.

Chaos é uma família de ransomware popular que espalha várias versões de malware. Após a infecção, a maioria dos arquivos armazenados em um sistema são reajustados e não podem mais ser acessados. Isso é feito por cibercriminosos para extorquir o chamado resgate das vítimas em troca de desbloqueio de dados. No momento, existem 4 versões mais populares propagadas pelo Chaos - Axiom, Teddy, Encrypted e AstraLocker Ransomware. Todos os 4 atribuem seu próprio ramal enquanto bloqueiam o acesso aos dados. Por exemplo, um arquivo como 1.pdf pode mudar para 1.pdf.axiom, 1.pdf.teddy, 1.pdf.encryptedou 1.pdf.astralocker dependendo de qual versão atacou sua rede. Inicialmente, Chaos costumava ser chamado Ryuk .Net Ransomware, mas depois foi atualizado e começou a proliferar com o novo nome. Além disso, o Ryuk.Net apenas imitou a criptografia com algoritmos AES + RSA, mas na verdade usou a codificação Base64 para danificar a estrutura dos arquivos. Não excluído, o mesmo pode ser enfrentado em versões mais recentes também. Também é possível ver uma versão do Chaos acrescentando uma sequência de caracteres aleatórios a arquivos criptografados - como 1.pdf.us00, 1.pdf.wf1d, e assim por diante. Assim que a criptografia (ou criptografia falsa) chega ao fim, o vírus cria uma nota de texto com instruções sobre como recuperar seus dados. Aqui estão os nomes, bem como o conteúdo de cada nota de texto criada por diferentes versões (README.txt, read_it.txt, Read_me_now.txt.

o Tohnich significa um programa de ransomware que altera as extensões dos arquivos, tornando-os todos criptografados. .tohnichi é o nome da nova extensão atribuída a cada parte comprometida. Isso significa que todos os arquivos criptografados aparecerão assim 1.pdf.tohnichi no final do processo. A última peça do quebra-cabeça trazida por Tohnichi é Como descriptografar arquivos.txt, o arquivo de texto criado por malware para explicar as instruções de descriptografia. Em primeiro lugar, afirma-se que sua rede foi hackeada, o que permitiu que extorsionários criptografassem seus dados. Então, os cibercriminosos dizem que são as únicas figuras capazes de realizar a descriptografia segura e completa dos dados. Para isso, as vítimas são solicitadas a estabelecer comunicação usando o link do navegador Tor e pagar pelo software de descriptografia. O preço é mantido em segredo e depende da rapidez com que você entra em contato com os desenvolvedores. Depois de concluir o pagamento, os desenvolvedores prometem enviar uma ferramenta de descriptografia exclusiva para recuperar os dados. Além disso, os desenvolvedores de ransomware dizem que podem descriptografar vários arquivos (que não contêm informações valiosas) antes de pagar o resgate gratuitamente. Esta é uma boa oferta, de fato, mas ainda insuficiente para confiar nos criminosos cibernéticos individualmente.

Zeppelin foi descoberto por GrujaRS, que é uma peça maliciosa que infecta computadores e criptografa os dados do usuário. Programas desse tipo são normalmente projetados para ganhar dinheiro com usuários desesperados que tiveram seus arquivos bloqueados. Como de costume, com a criptografia, vem uma mudança significativa na extensão do arquivo - ele os renomeia usando o sistema de numeração hexadecimal para algo assim 1.mp4.126-A9A-0E9. Na verdade, a extensão pode variar por símbolos, pois o vírus pode gerar valores aleatórios. Assim que a criptografia for concluída, o Zepellin cria um arquivo de texto chamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT em seu desktop. Nesta nota, extorsores ofendem você com abuso de resgate, ligando para contatá-los e comprar uma chave específica. Infelizmente, não existe um método comprovado que possa descriptografar seus dados gratuitamente neste momento. A única maneira de fazer isso é seguir as instruções, o que é um grande risco. Embora a decisão recaia sobre seus ombros, recomendamos que você exclua o Zeppelin Ransomware no guia abaixo.

MOSN é classificado como uma infecção de ransomware que exige dinheiro das vítimas após criptografar os dados. Normalmente, essas infecções atingem todos os arquivos potencialmente importantes, como fotos, vídeos, documentos, bancos de dados e muito mais, que possuem algum valor para as vítimas. A criptografia pode ser detectada por novas extensões atribuídas a cada parte comprometida. Por exemplo, um arquivo chamado 1.pdf mudará para 1.pdf.MOSN no final da criptografia. O mesmo será visto com outros dados de acordo com este padrão. Então, logo depois disso, o MOSN instala novos papéis de parede estendidos por toda a tela que exibe um breve resumo do resgate. Afirma que as vítimas devem entrar em contato com os desenvolvedores via walter1964@mail2tor.com endereço de e-mail e pague 300 $ em Bitcoin para resgate de dados. Além disso, MOSN Ransomware cria um arquivo de texto chamado INFORMAÇÕES_READ_ME.txt isso explica o mesmo, mas também menciona o número de arquivos criptografados e a identificação exclusiva que deve ser anexada ao entrar em contato com extorsionários.

Divindade, Matafaka e Army são três infecções de ransomware lançadas pelo grupo de desenvolvimento conhecido como Xorist. Depois que o sistema é infectado com êxito, um vírus força a maioria dos arquivos armazenados a alterar seus nomes. Dependendo de qual versão atacou seu PC, qualquer imagem, vídeo, música ou arquivo de documento como 1.pdf mudará para 1.pdf.divinity, 1.pdf.matafakaou 1.pdf.army. Depois que cada arquivo acaba sendo alterado visualmente, as versões mencionadas acima exibem uma mensagem de texto em janelas pop-up ou arquivos de bloco de notas (HOW TO DECRYPT FILES.txt) O texto difere para cada versão. Para ilustrar, Matafaka e Exército mostram quase nenhuma informação sobre a descriptografia de dados. Eles mencionam que seu PC foi hackeado, mas não fornecem nenhuma informação ou instruções de pagamento para restaurar os dados. A razão para isso pode ser que essas versões ainda estão em desenvolvimento e testes. Não está excluído que existam versões completas com instruções completas já circulando pela web. Divinity é a única versão da lista com detalhes de contato para pagar o resgate. Para isso, os usuários devem escrever uma mensagem direta para @lulzed Telegram ou @dissimilate no Twitter. Observe que a família Xorist Ransomware usa algoritmos XOR e TEA para criptografar dados pessoais. Os dados criptografados por essas cifras têm menor probabilidade de serem descriptografados sem o envolvimento de criminosos cibernéticos. Apesar disso, é expressamente desaconselhada ao atendimento de demandas de cifras fraudulentas.