Vírus

0xxx é uma infecção de ransomware que criptografa vários dados usando algoritmos AES + RSA em dispositivos NAS (Western Digital My Book). A medida é feita para obrigar as vítimas a pagar o chamado resgate em troca dos dados bloqueados. Assim como outro malware deste tipo, 0xxx usa sua própria extensão (0xxx) para renomear os dados. Por exemplo, um pedaço de arquivo intitulado como 1.pdf mudará sua aparência para 1.pdf.0xxx após a criptografia. Todas essas mudanças indicam que seus dados não estão mais acessíveis. Em outras palavras, não há mais como abri-lo. Para consertá-lo, as vítimas são chamadas a seguir as instruções de resgate dentro do ! 0XXX_DECRYPTION_README.TXT nota de texto. Esta nota é colocada em cada pasta que contém arquivos criptografados. Diz-se que as vítimas podem descriptografar seus dados pagando um resgate de 300 dólares em Bitcoin. A princípio, os usuários são instruídos a entrar em contato com os criminosos cibernéticos por e-mail. É necessário incluir seu ID exclusivo junto com 3 arquivos para testar a descriptografia gratuita. Assim que o contato com os cibercriminosos for estabelecido, as vítimas obterão os detalhes de pagamento para realizar uma transferência de dinheiro. Embora os extorsionários afirmem que não têm a intenção de enganá-lo, houve vários casos em que os usuários não receberam as ferramentas de descriptografia mesmo após o pagamento.

Antes de começar a retirada, vale saber o que Redeemer Ransomware realmente é. É classificado como um vírus de criptografia de arquivos que bloqueia o acesso aos dados armazenados em um sistema comprometido. A fim de mostrar se ele é criptografado ou não, os desenvolvedores da Redeemer anexam o .redeem extensão para cada um dos arquivos. Por exemplo, um arquivo como 1.pdf mudará sua aparência para 1.pdf.redeem e redefinir seu ícone original. O sistema não poderá mais abrir os arquivos enquanto eles estiverem criptografados. Para devolver o controle sobre seus dados, é necessário comprar um software de descriptografia especial junto com uma chave exclusiva. Informações mais detalhadas sobre isso podem ser localizadas dentro do Read Me.TXT nota, que é criada após o término da criptografia. Logo abaixo do logotipo da Redeemer desenhado a partir de números, os cibercriminosos pedem aos usuários que paguem 20 criptomoedas XMR (Monero), o que custa cerca de US $ 4000 pela descriptografia de dados. Assim que você estiver pronto para fazer isso, a próxima etapa é entrar em contato com extorsionários anexando sua chave de identificação pessoal por meio de seu endereço de e-mail (test@test.test). Isso é necessário para obter o endereço de pagamento para efetuar uma transferência. Assim que eles receberem seu resgate de descriptografia, você receberá as ferramentas prometidas para recuperar seus dados.

Poteston é classificado como uma infecção de ransomware que executa a criptografia de bancos de dados, fotos, documentos e outros dados valiosos. Todo o processo de criptografia pode ser facilmente detectado pelos usuários que procuram novas extensões atribuídas aos arquivos. Este vírus envolve o .poteston extensão para renomear os dados armazenados. Para ilustrar, um arquivo chamado 1.pdf mudará sua aparência para 1.pdf.poteston como resultado da criptografia. Assim que essas mudanças forem observadas, as vítimas não poderão mais acessar os dados. Assim que essas mudanças forem observadas, as vítimas não poderão mais acessar os dados. Para restaurá-lo, os usuários recebem instruções dentro do readme.txt Nota. Na nota, as vítimas são recebidas com más notícias - todos os dados mencionados acima foram criptografados. Para resgatá-lo, as vítimas são instruídas a entrar em contato com os criminosos virtuais usando seu endereço de e-mail (recuperação_Potes@firemail.de) Depois de estabelecer contato com eles, você supostamente receberá os detalhes necessários para realizar uma transferência de dinheiro. Antes de fazer isso, você também pode enviar um dos arquivos bloqueados para descriptografia gratuita. Este é um truque usado por muitos extorsionários para elevar a confiança das vítimas. Além disso, os desenvolvedores do Poteston também alertam contra a renomeação de dados criptografados, pois você pode danificar sua configuração.

MANSÓRIO é uma infecção de ransomware que executa criptografia vigorosa em dados pessoais e comerciais. Este processo envolve algoritmos criptográficos junto com o acréscimo de novas extensões. MANSORY usa o .MANSÓRIA extensão para cada parte do arquivo que foi restringida. Por exemplo, um arquivo como 1.pdf será alterado para 1.pdf.mansory. Depois de experimentar essas mudanças, os arquivos bloqueados não estarão mais acessíveis. Para recuperar o acesso a eles, as vítimas devem pagar um certo resgate em dinheiro. Mais informações sobre isso são apresentadas em uma nota de texto chamada MANSORY-MESSAGE.txt, que é criado após a criptografia ser concluída. A primeira coisa que os cibercriminosos dizem é que gigabytes de dados valiosos foram baixados para um local seguro. Os extorsionários usam-no como garantia para intimidar os usuários com a publicação de dados, caso eles se recusem a pagar. As vítimas têm o direito de saber quantos dados foram carregados depois de contatar os cibercriminosos por e-mail (selawilsen2021@tutanota.com; dennisdqalih35@tutanota.com; josephpehrhart@protonmail.com). Portanto, eles podem analisar o valor dos dados que vazaram para as mãos de extorsionários. Como já mencionamos, não entrar em contato com os cibercriminosos resultará na publicação gradual de dados que foram sequestrados de sua rede. Para evitá-lo, as vítimas são obrigadas a comprar o software de descriptografia armazenado pelos próprios criminosos cibernéticos. Isso também permitirá que você desbloqueie todos os dados bloqueados. Além disso, os desenvolvedores do MANSORY Ransomware oferecem uma tentativa de descriptografia gratuita, enviando 2 arquivos aleatórios de outros computadores para o seu e-mail.

Localizar arquivo de notas é o nome de uma infecção de ransomware que começou sua busca por usuários corporativos em junho de 2021. Assim como outros malwares desse tipo, os desenvolvedores usam algoritmos AES + RSA para criptografar os dados das vítimas. FindNoteFile foi encontrado distribuído em 3 versões diferentes. A única grande diferença entre eles é o nome da extensão atribuída aos arquivos após a criptografia (.findnotefile, .encontrar o arquivoou .ponto vermelho) Por exemplo, um arquivo inicialmente chamado 1.pdf mudará sua aparência para 1.pdf.findnotefile, 1.pdf.findthenotefileou 1.pdf.reddot dependendo de qual versão atacou seu sistema. Então, assim que a criptografia termina, o vírus cria uma nota de texto chamada HOW_TO_RECOVER_MY_FILES.txt, que contém instruções de resgate. O texto escrito dentro está cheio de erros, no entanto, ainda é fácil entender o que os cibercriminosos querem de suas vítimas.

SLAM é um vírus do tipo ransomware que criptografa dados pessoais para ganhar dinheiro com usuários desesperados. Em outras palavras, ele restringe o acesso aos dados e os mantém trancados até que as vítimas paguem uma determinada taxa de resgate. Para fazer com que os usuários identifiquem a criptografia, os desenvolvedores renomeiam os dados comprometidos usando o .bater extensão. Para ilustrar, um arquivo como 1.pdf será renomeado para 1.pdf.slam e redefinir seu ícone original (em alguns casos). Então, depois que essa parte da criptografia for concluída, o SLAM abre uma janela com informações sobre o vírus. O texto vermelho no fundo preto indica que todos os arquivos foram criptografados. Para recuperá-los, as vítimas devem entrar em contato com os cibercriminosos usando um dos e-mails anexados à nota. Posteriormente, você receberá as instruções necessárias para realizar uma transferência de resgate em dinheiro. Além disso, os usuários são avisados ​​de que é proibido desligar o PC ou usar aplicativos do Windows (por exemplo, regedit, gerenciador de tarefas, prompt de comando, etc.). Caso contrário, seu PC será bloqueado e impedido de inicializar até que o vírus esteja presente. O mesmo acontecerá a menos que você contate os extorsionários dentro de 12 horas. Neste ponto da investigação, os especialistas cibernéticos ainda não conseguiram encontrar uma ferramenta que pudesse fornecer descriptografia de dados gratuitamente, sem envolver os cibercriminosos. Pagar o resgate também é um risco, pois não há garantia de que você receberá seus arquivos de volta. A única melhor maneira nesta situação é excluir SLAM Ransomware e recuperar seus dados por meio de cópias de backup. Se você não os criou e armazenou em um local separado antes da infecção, é quase irreal descriptografar seus arquivos.

Epsilon Vermelho é outro vírus do tipo ransomware que tem como alvo os dados pessoais em sistemas infectados. Depois de encontrar a gama de dados de que precisa (normalmente são bancos de dados, estatísticas, documentos, etc.), o vírus começa a executar a criptografia de dados com algoritmos AES + RSA. Todo o processo de criptografia é difícil de detectar imediatamente, pois as vítimas só ficam sabendo da infecção depois que todos os arquivos mudam de nome. Para ilustrar isso, vamos dar uma olhada no arquivo chamado 1.pdf, que, portanto, mudou sua aparência para 1.pdf.epsilonred. Essa mudança significa que não é mais permitido acessar o arquivo. Além de buscar dados sensíveis, também é sabido que o EpsilonRed altera a extensão dos arquivos executáveis ​​e DLL, o que pode impedi-los de funcionar corretamente. O vírus também instala alguns arquivos que bloqueiam as camadas de proteção, limpam os logs de eventos e afetam outros recursos do Windows assim que a infecção entra no sistema. No final da criptografia, o EpsilonRed fornece instruções de resgate apresentadas dentro de uma nota. O nome do arquivo pode variar individualmente, mas a maioria dos usuários relatou sobre COMO_RECUPERAR.EpsilonRed.txt e nota_resgate.txt notas de texto sendo criadas após a criptografia.

Gpay é conhecido como um programa malicioso que executa criptografia segura de dados em dados armazenados usando algoritmos AES-256, RSA-2048 e CHACHA. Os cibercriminosos monetizam seu software pedindo às vítimas que paguem pela descriptografia de dados. Antes de fazer isso, as vítimas ficam confusas sobre as mudanças repentinas na aparência do arquivo. Isso ocorre porque o Gpay renomeia todos os arquivos criptografados com o .gpay extensão. Para ilustrar, um arquivo como 1.pdf será alterado para 1.pdf.gpay após o término da criptografia. Depois de detectar essa mudança, as vítimas também encontrarão um arquivo chamado !!! HOW_TO_DECRYPT !!!. Mht dentro de todas as pastas infectadas. O arquivo leva a uma página da web que exibe instruções de resgate. Diz-se que você pode enviar até 3 arquivos para testar suas habilidades de descriptografia gratuitamente. Isso pode ser feito enviando seus arquivos com ID pessoal para os endereços de e-mail gsupp@jitjat.org e gdata@msgden.com. O mesmo deve ser feito para reivindicar o endereço de pagamento e comprar as ferramentas de descriptografia. A menos que você faça isso dentro de 72 horas, é mais provável que os cibercriminosos publiquem os dados sequestrados em plataformas relacionadas ao darknet. É por isso que ficar preso pelo Gpay é extremamente perigoso, pois há uma grande ameaça à privacidade. Dependendo de qual será o preço da descriptografia de dados, as vítimas podem decidir se precisam ou não.