El recientemente descubierto Sigma Ransomware se está extendiendo desde las IP basadas en Rusia con la variedad de técnicas de ingeniería social para comprometer a las víctimas y bloquear la computadora infectada
Los usuarios se dirigen a través de correos electrónicos SPAM maliciosos que contienen una declaración que proviene del "Tribunal de distrito de los Estados Unidos" con un archivo adjunto malicioso.
Hoy en día, los atacantes usan la estafa de correo electrónico apuntan a la víctima para realizar diversas actividades maliciosas y jugar con el usuario por algunas cadenas de emergencia de miedo y aumentar la curiosidad de la víctima.
Ataque Sigma Ransomware llevado a cabo desde alrededor de 32 IP basadas en Rusia y el atacante registró el dominio específico que se utiliza para realizar varios ataques.
Los autores de malware utilizaron más funciones de obfusticación al solicitar la contraseña para abrir el archivo y evadir la detección.
Función de trabajo Sigma Ransomware
Inicialmente, los archivos maliciosos requerían una contraseña para abrir porque engaña al usuario para que descargue los archivos adjuntos que deberían protegerse, ya que el correo proviene de la corte, un truco ingenioso utilizado por un atacante.
Si detecta que las macros están desactivadas en el equipo de la víctima, entonces es conveniente que los usuarios lo enciendan y contengan VBScript malicioso.
Más tarde, VBScript descargará la carga útil original de Sigma Ransomware del servidor de control y comando de ataque y la guardará en la carpeta %TEMP%.
El malware descargado imita como un proceso de svchost.exe legítimo que ayuda a descargar un malware más.
El Malware usó varias técnicas de ofuscación para ocultarlo y evadir la detección, y se mata si encuentra una máquina virtual o cajas de arena.
De acuerdo con Comodo Research, a diferencia de algunos de sus parientes cercanos de ransomware, Sigma no actúa de inmediato, sino que acecha y hace primero un reconocimiento encubierto.
Crea una lista de archivos valiosos, los cuenta y envía este valor a su servidor de C & C junto con otra información sobre la máquina de la víctima.
Además, si sigma Ransomware no encuentra archivos, se elimina y detiene la infección si encuentra la ubicación del país de la Federación de Rusia o Ucrania.
Más tarde se conecta a sus servidores de comando y control y establece la conexión Tor y Sigma Ransomware comienza a cifrar los archivos en la máquina.
Después de la encriptación completa, mostrará las notas de rescate que contienen la información detallada del ataque y el ataque solicita a las víctimas que se comuniquen con ellos a través de sigmacs@protonmail.com y también la víctima debe mencionar la identificación de la infección.
Además, el ataque exige el rescate a través de bitcoin y el precio se fijará en función de la forma en que las víctimas entren en contacto de inmediato con el ataque.
"Enfrentarse con malware tan sofisticado en ambos lados, trucos de ingeniería social y diseño técnico, es un desafío difícil incluso para los usuarios conscientes de la seguridad", dice Fatih Orhan, Jefe de Comodo Threat Research Labs.
Fecha actualización el 2021-06-09. Fecha publicación el 2018-06-09. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: gbhackers