Vírus

Ser parte da Dharma Ransomware família, Dharma-TOR é outro programa malicioso que executa criptografia em dados pessoais. Ao cometer esse ato, os desenvolvedores forçam as vítimas a pagar o chamado resgate. O primeiro sinal de Dharma-Tor infectando seu sistema reflete em novas extensões de arquivo. Os cibercriminosos atribuem a identificação pessoal da vítima, endereço de contato e .TOR extensão ao final de cada arquivo. Por exemplo, 1.pdf ou quaisquer outros arquivos armazenados em seu sistema terão uma nova aparência de 1.pdf.id-C279F237.[todecrypt@disroot.org].TOR, ou algo semelhante. Logo após todos os dados serem alterados com sucesso, o Dharma-TOR apresenta uma janela pop-up junto com um arquivo de texto chamado FILES ENCRYPTED.txt, que é colocado na área de trabalho. Tanto a janela pop-up quanto a nota de texto destinam-se a instruir as vítimas durante o processo de recuperação. Diz-se que os usuários devem entrar em contato com os desenvolvedores por e-mail indicado na extensão com sua identificação pessoal. Em caso de não resposta, as vítimas são orientadas a escolher outro endereço de e-mail anexado à nota. Depois de estabelecer um contato bem-sucedido com os cibercriminosos, os usuários provavelmente receberão instruções de pagamento para adquirir a descriptografia de dados.

Usuários infectados com Makop Ransomware verão seus dados bloqueados de acesso regular e alterados por meios visuais. Existem diferentes versões usadas pelos desenvolvedores do Makop para se espalharem para as vítimas. A única diferença real entre eles reside nas várias extensões e endereços de e-mail (.hinduísmo, .gamigin, .dev0, etc.) usado para renomear os arquivos criptografados. O resto pode ser descrito como pura replicação de versões anteriores do Makop por um modelo. Depois que esse vírus se instala em um PC, quase todos os dados disponíveis serão atribuídos com ID de vítima exclusivo, e-mail de contato e extensão aleatória, dependendo de qual versão atacou seu sistema. Por exemplo, um arquivo como 1.pdf será alterado para algo assim 1.pdf.[9B83AE23].[hinduism0720@tutanota.com].hinduism, ou de forma semelhante com outras extensões como .gamigin, .dev0 ou .makop. Logo depois que essa parte da criptografia chega ao fim, o vírus lança uma nota de texto chamada readme-warning.txt em cada pasta que contém dados comprometidos. A nota lista uma série de itens de perguntas e respostas que explicam os detalhes da recuperação. Dizem que os usuários têm a única maneira de restaurar os dados - pagar pela descriptografia em Bitcoins. As instruções de pagamento serão obtidas somente após o estabelecimento do contato por e-mail (hinduísmo0720@tutanota.com, gamigin0612@tutanota.com, xdatarecovery@msgsafe.ioou outro endereço). Da mesma forma, as extensões, os endereços de contato são uma parte da equação, variando também de pessoa para pessoa.

Gooolag é uma infecção de ransomware que faz com que todos os dados armazenados sejam cortados do acesso regular para exigir o pagamento do resgate de recuperação. É mais provável que empresas de alta receita sejam infectadas com esta versão de ransomware. Os cibercriminosos usam o .crptd extensão para cada arquivo criptografado. Por exemplo, um dado como 1.xls mudará para 1.xls.crptd e redefinir seu ícone original. Após este estágio de criptografia, as vítimas são recebidas com instruções de descriptografia apresentadas dentro de uma nota de texto chamada How To Restore Your Files.txt. A nota revela um mundo de informações agonizantes sobre os dados. No início, os cibercriminosos afirmam que 600 Gigabytes de dados importantes foram carregados para servidores anônimos. Em seguida, as vítimas são socadas com algumas chamadas de intimidação - ataques DDoS (negação de serviço distribuída) em domínios inteiros e contatos da empresa. Para evitar que isso aconteça e perca todos os dados, as vítimas são obrigadas a entrar em contato com extorsionários por meio de comunicação por e-mail (Gooolag46@protonmail.com or guandong@mailfence.com). Se os desenvolvedores suspeitarem de algo relacionado à polícia ou às autoridades cibernéticas, o processo de recuperação será afetado.

Kikiriki é uma infecção de ransomware que isola o acesso aos dados armazenados em um PC. Todos os arquivos importantes acabam criptografados e alterados por meios visuais. Os desenvolvedores do Kikiriki acrescentam o novo .kikiriki extensão junto com a identificação da vítima. Para ilustrar, um arquivo como 1.pdf é provável que mude para 1.pdf.kikiriki.19A-052-6D8 e da mesma forma. Logo depois disso, o vírus cria um arquivo de texto chamado !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT. Os desenvolvedores de ransomware afirmam que não há outra maneira de descriptografar seus dados além de pagar o resgate. O preço da descriptografia ainda não foi decidido em novas negociações, no entanto, as vítimas já foram informadas que deve ser feito em Bitcoin. Para saber mais instruções de pagamento, as vítimas devem entrar em contato com extorsionários por meio das plataformas qTOX ou Jabber. Também é solicitado que você tente a descriptografia de dados gratuita. As vítimas podem enviar 2 arquivos bloqueados de .jpg, .xls, .doc ou formato semelhante, exceto para bancos de dados (tamanho máximo de 2 MB). Isso deve provar a capacidade de descriptografia e elevar a confiança das vítimas. Apesar disso, é comum ver muitos cibercriminosos enganarem suas vítimas mesmo depois de receberem o resgate. Assim, pagar o resgate é cheio de riscos que devem ser considerados por qualquer pessoa infectada com malware.

FluBot é uma infecção maliciosa classificada como um cavalo de Troia bancário que penetra smartphones baseados em Android. Um grande número de usuários fez denúncias ao receber mensagens suspeitas com links para baixar páginas. É exatamente assim que o FluBot atinge suas vítimas. Os extorsionários enviam uma série de mensagens SMS semelhantes (em diferentes idiomas) que contêm links para baixar um aplicativo FedEx aparentemente legítimo. O falso site de entrega compartilha um arquivo APK usado para instalar o vírus FluBot. Assim que você inicia o arquivo APK, o assistente de instalação pede para conceder vários tipos de permissões, como ler contatos, observar e enviar mensagens SMS, enviar notificações, iniciar chamadas, rastrear a localização e outras permissões suspeitas. Ter um número tão grande de permissões irracionais levanta uma enorme questão de segurança. Ao permitir todas as ações mencionadas, seu smartphone será totalmente controlado por cibercriminosos. Isso irá, portanto, ajudá-los a coletar dados confidenciais inseridos durante o uso. Após acessar seu smartphone, o vírus também recebe comandos remotos de servidores para desabilitar a proteção do dispositivo e outros recursos que impedem a invasão de terceiros. Observe que o FluBot também pode gerar janelas falsas que exigirão a inserção de informações bancárias (número do cartão de crédito, códigos CVC / CVC2 etc.). Tudo o que foi mencionado acima prova que o FluBot é uma peça perigosa que deve ser removida.

Ser parte da ByteLocker família, Janus Locker é uma infecção de ransomware que bloqueia o acesso aos arquivos armazenados em um sistema. Ao fazer isso, os desenvolvedores chantageiam as vítimas para que paguem o chamado resgate em troca dos dados. As instruções de pagamento e descriptografia estão localizadas dentro de uma nota de texto, que é criada depois que todos os arquivos são criptografados. JanusLocker atribui o .HACHADO extensão para cada parte do arquivo. Por exemplo, 1.pdf ou qualquer outro arquivo atacado em seu PC mudará para 1.pdf.HACKED e não se tornar mais acessível. Está escrito que todos os dados importantes foram criptografados usando algoritmos AES-256. Para apagar a cifra anexada, os usuários são orientados a pagar por um software de descriptografia exclusivo. O preço do software equivale a aproximadamente 0.018 BTC, que é cerca de 618 USD no momento da redação deste artigo. Depois que os usuários concluírem a transferência de dinheiro por meio do endereço criptográfico anexado, eles devem notificar os criminosos cibernéticos com sua ID de transação por e-mail (TwoHearts911@protonmail.com). Logo depois, os usuários devem obter as ferramentas de descriptografia prometidas adquiridas de cibercriminosos. Infelizmente, nem sempre é esse o caso. Muitos desenvolvedores de ransomware enganam suas vítimas mesmo depois de receber o pagamento. É por isso que confiar no JanusLocker por meios monetários é um risco enorme.

BiggyLocker é um vírus do tipo ransomware que torna a maioria dos arquivos armazenados em um sistema totalmente inacessível. Este processo é mais conhecido como criptografia de dados. Envolve fortes algoritmos AES e RSA destinados a atribuir cifras de nível militar, o que torna a autodescriptografia quase impossível. Assim como outro malware deste tipo, BiggyLocker atribui o .$big$ para cada parte criptografada de dados. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.$big$ e redefinir seu ícone original. Então, assim que esta parte da criptografia é concluída, o vírus passa a criar uma nota de texto chamada read_me.txt. Ele é colocado em um desktop e contém instruções de resgate. Como afirmam os desenvolvedores, é impossível recuperar os arquivos bloqueados sem a ajuda deles. Para fazer isso, as vítimas são solicitadas a pagar pelo software de descriptografia social mantido pelos próprios cibercriminosos. O preço para tal é 120 $ a ser transferido em Bitcoin. Uma vez que as vítimas pagaram o resgate exigido por meio do endereço de criptografia, elas devem, portanto, entrar em contato com os extorsionários usando seu endereço de e-mail (cyberlock06@protonmail.com) Depois disso, as vítimas deveriam supostamente obter as ferramentas de descriptografia prometidas para recuperar o acesso aos seus dados.

Harão é uma das muitas infecções de ransomware que visam a criptografia de dados pessoais para exigir o pagamento do chamado resgate. Esse tipo de malware garante que a maioria dos dados armazenados em seu dispositivo não tenha acesso regular. Em outras palavras, os usuários afetados pelo ransomware não têm mais permissão para acessar os arquivos. Para saber se foram criptografados, basta olhar sua aparência. Haron adiciona o .chaddad extensão para cada um dos arquivos e força a redefinição dos ícones também. Por exemplo, um arquivo chamado 1.pdf será alterado para 1.pdf.chaddad e solte seu ícone em branco. Depois que esta parte da infecção chega ao fim, as vítimas recebem duas notas (RESTORE_FILES_INFO.txt e RESTORE_FILES_INFO.hta) com instruções de descriptografia. Essas instruções têm como objetivo informar os usuários sobre a criptografia. Além disso, eles afirmam que os cibercriminosos são as únicas figuras capazes de recuperar seus dados. Para isso, os usuários são solicitados a adquirir um software de descriptografia exclusivo mantido pelos próprios extorsionários. As vítimas precisam acessar um link por meio do navegador Tor para concluir o pagamento necessário. Às vezes, as fraudes esquecem de colocar os links de contato ou pagamento, o que torna a recuperação via cibercriminosos automaticamente impossível.