Vírus

Localizar arquivo de notas é o nome de uma infecção de ransomware que começou sua busca por usuários corporativos em junho de 2021. Assim como outros malwares desse tipo, os desenvolvedores usam algoritmos AES + RSA para criptografar os dados das vítimas. FindNoteFile foi encontrado distribuído em 3 versões diferentes. A única grande diferença entre eles é o nome da extensão atribuída aos arquivos após a criptografia (.findnotefile, .encontrar o arquivoou .ponto vermelho) Por exemplo, um arquivo inicialmente chamado 1.pdf mudará sua aparência para 1.pdf.findnotefile, 1.pdf.findthenotefileou 1.pdf.reddot dependendo de qual versão atacou seu sistema. Então, assim que a criptografia termina, o vírus cria uma nota de texto chamada HOW_TO_RECOVER_MY_FILES.txt, que contém instruções de resgate. O texto escrito dentro está cheio de erros, no entanto, ainda é fácil entender o que os cibercriminosos querem de suas vítimas.

SLAM é um vírus do tipo ransomware que criptografa dados pessoais para ganhar dinheiro com usuários desesperados. Em outras palavras, ele restringe o acesso aos dados e os mantém trancados até que as vítimas paguem uma determinada taxa de resgate. Para fazer com que os usuários identifiquem a criptografia, os desenvolvedores renomeiam os dados comprometidos usando o .bater extensão. Para ilustrar, um arquivo como 1.pdf será renomeado para 1.pdf.slam e redefinir seu ícone original (em alguns casos). Então, depois que essa parte da criptografia for concluída, o SLAM abre uma janela com informações sobre o vírus. O texto vermelho no fundo preto indica que todos os arquivos foram criptografados. Para recuperá-los, as vítimas devem entrar em contato com os cibercriminosos usando um dos e-mails anexados à nota. Posteriormente, você receberá as instruções necessárias para realizar uma transferência de resgate em dinheiro. Além disso, os usuários são avisados ​​de que é proibido desligar o PC ou usar aplicativos do Windows (por exemplo, regedit, gerenciador de tarefas, prompt de comando, etc.). Caso contrário, seu PC será bloqueado e impedido de inicializar até que o vírus esteja presente. O mesmo acontecerá a menos que você contate os extorsionários dentro de 12 horas. Neste ponto da investigação, os especialistas cibernéticos ainda não conseguiram encontrar uma ferramenta que pudesse fornecer descriptografia de dados gratuitamente, sem envolver os cibercriminosos. Pagar o resgate também é um risco, pois não há garantia de que você receberá seus arquivos de volta. A única melhor maneira nesta situação é excluir SLAM Ransomware e recuperar seus dados por meio de cópias de backup. Se você não os criou e armazenou em um local separado antes da infecção, é quase irreal descriptografar seus arquivos.

Epsilon Vermelho é outro vírus do tipo ransomware que tem como alvo os dados pessoais em sistemas infectados. Depois de encontrar a gama de dados de que precisa (normalmente são bancos de dados, estatísticas, documentos, etc.), o vírus começa a executar a criptografia de dados com algoritmos AES + RSA. Todo o processo de criptografia é difícil de detectar imediatamente, pois as vítimas só ficam sabendo da infecção depois que todos os arquivos mudam de nome. Para ilustrar isso, vamos dar uma olhada no arquivo chamado 1.pdf, que, portanto, mudou sua aparência para 1.pdf.epsilonred. Essa mudança significa que não é mais permitido acessar o arquivo. Além de buscar dados sensíveis, também é sabido que o EpsilonRed altera a extensão dos arquivos executáveis ​​e DLL, o que pode impedi-los de funcionar corretamente. O vírus também instala alguns arquivos que bloqueiam as camadas de proteção, limpam os logs de eventos e afetam outros recursos do Windows assim que a infecção entra no sistema. No final da criptografia, o EpsilonRed fornece instruções de resgate apresentadas dentro de uma nota. O nome do arquivo pode variar individualmente, mas a maioria dos usuários relatou sobre COMO_RECUPERAR.EpsilonRed.txt e nota_resgate.txt notas de texto sendo criadas após a criptografia.

Gpay é conhecido como um programa malicioso que executa criptografia segura de dados em dados armazenados usando algoritmos AES-256, RSA-2048 e CHACHA. Os cibercriminosos monetizam seu software pedindo às vítimas que paguem pela descriptografia de dados. Antes de fazer isso, as vítimas ficam confusas sobre as mudanças repentinas na aparência do arquivo. Isso ocorre porque o Gpay renomeia todos os arquivos criptografados com o .gpay extensão. Para ilustrar, um arquivo como 1.pdf será alterado para 1.pdf.gpay após o término da criptografia. Depois de detectar essa mudança, as vítimas também encontrarão um arquivo chamado !!! HOW_TO_DECRYPT !!!. Mht dentro de todas as pastas infectadas. O arquivo leva a uma página da web que exibe instruções de resgate. Diz-se que você pode enviar até 3 arquivos para testar suas habilidades de descriptografia gratuitamente. Isso pode ser feito enviando seus arquivos com ID pessoal para os endereços de e-mail gsupp@jitjat.org e gdata@msgden.com. O mesmo deve ser feito para reivindicar o endereço de pagamento e comprar as ferramentas de descriptografia. A menos que você faça isso dentro de 72 horas, é mais provável que os cibercriminosos publiquem os dados sequestrados em plataformas relacionadas ao darknet. É por isso que ficar preso pelo Gpay é extremamente perigoso, pois há uma grande ameaça à privacidade. Dependendo de qual será o preço da descriptografia de dados, as vítimas podem decidir se precisam ou não.

Trazido à luz por MalwareHunterTeam, Lado escuro é um programa malicioso que criptografa dados valiosos para exigir dinheiro das vítimas. Todas as redes relacionadas com dados que foram expostos a este vírus serão verificadas e bloqueadas para acesso regular. Assim como outras infecções de ransomware, o DarkSide acrescenta uma extensão exclusiva no final de cada arquivo criptografado. Para ser mais específico, ele anexa a identificação pessoal gerada aleatoriamente para cada uma das vítimas. Para ilustrar, é mais provável que você veja a mudança de seus arquivos de 1.xlsx para 1.xlsx.d0ac7d95, ou de forma semelhante, dependendo de qual ID foi atribuída a você. Então, assim que esta parte do processo é concluída, os cibercriminosos criam uma nota de texto com instruções de descriptografia (LEIA-ME. [ID da vítima] .TXT).

Desenvolvido pela Makop Ransomware família, mamona é um vírus perigoso que executa a criptografia de dados para fins monetários. Isso ocorre porque ele criptografa dados pessoais com algoritmos de nível militar e exige resgate em dinheiro a ser pago pelas vítimas. Para mostrar que seus dados foram restritos, extorsionários acrescentam uma sequência de símbolos a cada nome de arquivo (incluindo caracteres aleatórios, endereço de e-mail de cibercriminosos e .mamon extensão). Para ilustrar, o arquivo original como 1.pdf vai mudar sua aparência para algo assim 1.pdf.[9B83AE23].[mammon0503@tutanota.com].mammon. Como resultado dessa mudança, os usuários não poderão mais acessar o arquivo. Para obter instruções sobre a recuperação de dados, os cibercriminosos criam uma nota de texto chamada readme-warning.txt para cada pasta com dados criptografados.

Ser parte da Phobos Ransomware família, Careca é outro programa malicioso, que criptografa dados pessoais. A forma como ele faz isso é usando algoritmos de nível militar para cifrar os arquivos. Junto com isso, o vírus também atribui uma sequência de símbolos a cada um dos arquivos. Isso inclui uma identificação pessoal das vítimas, e-mail dos cibercriminosos e .calvo extensão para terminar a corda. Por exemplo, um arquivo como 1.pdf será infectado e alterado para 1.pdf.id[C279F237-3143].[seamoon@criptext.com].calvo. A mesma mudança acontecerá com o resto dos dados armazenados em um PC. Assim que esta parte da infecção chega ao fim, Calvo cria duas notas de resgate (info.hta e info.txt) para guiá-lo pelo processo de descriptografia.

Desenvolvido por Phobos família, XHAMSTER é uma infecção do tipo ransomware, que executa a criptografia de dados. Tal não executa criptografia unilateral; em vez disso, oferece desbloquear os dados infectados em troca de resgate em dinheiro. Quando se trata de criptografia de dados, os cibercriminosos geralmente são as únicas figuras capazes de desbloquear seus dados. É por isso que eles se oferecem para comprar o software que o ajudará a recuperar o acesso aos dados. Antes de entrar em detalhes, é importante mencionar como o XHAMSTER criptografa seus dados. Além de bloquear o acesso, ele também acrescenta uma sequência de símbolos que consiste em ID das vítimas, nome de usuário do ICQ Messenger e .XHAMSTER extensão no final de cada arquivo. Para ilustrar, um dado como 1.pdf será alterado para algo assim 1.pdf.id[C279F237-2797].[ICQ@xhamster2020].XHAMSTER no final da criptografia. Finalmente, uma vez que esse processo é concluído, o vírus começa a criar dois arquivos contendo instruções de resgate. Enquanto um deles ligou info.hta é exibido como uma janela bem na frente dos usuários, a outra chamada info.txt reside na área de trabalho da vítima.