DXXD RANSOMWARE CIFRA LOS ARCHIVOS EN UNIDADES DE RED SIN ASIGNAR

El ransomware DXXD se dirige a los servidores y cifra archivos en recursos compartidos de red, incluso si no han sido asignadas a la computadora infectada.

LLamado DXXD, el nuevo ransomware anexa la extensión a los archivos cifrados .dxxd, después de lo cual se deja caer una nota de rescate en los equipos infectados. El malware no buscará y cifra sólo los archivos en la máquina local, sino que también estaría dirigido a recursos compartidos de red, tanto asignada y no asignada, una característica que se ha visto anteriormente en Locky.
Mientras vector de infección del ransomware no está claro por el momento, se cree que los atacantes abusan del servicio de escritorio remoto y contraseñas por fuerza bruta para difundir el ransomware DXXD, segun informaciones de BleepingComputer.

La nota de rescate caído por la nueva amenaza indica a los usuarios debe ponerse en contacto con los operadores a través de dos direcciones de correo electrónico para recibir las instrucciones de pago: rep_stosd [at] protonmail.com y rep_stosd [at] tuta.io. Sin embargo, como suele ocurrir en el caso de infecciones ransomware, los usuarios se les aconseja no ceder y pagar el rescate.

A diferencia de otras familias ransomware, DXXD fue configurado para cambiar una configuración del registro de Windows para mostrar lo que se denomina "aviso legal" a los usuarios cuando inician una sesión. Debido a esto, el autor ransomware asegura que cualquier usuario que intenta iniciar sesión en un equipo infectado vera la nota de rescate.

El "aviso legal" informa a los usuarios de que el equipo que están entrando en "es atacado por los piratas informáticos." También afirma que los usuarios deben ponerse en contacto con expertos en dicha correos electrónicos y varias otras direcciones de correo electrónico, tales como shellexec [at] protonmail.com o null_ptr [ at] tutanota.de "

Para visualizar el aviso, el ransomware cambia el registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption clave de registro. También cambia HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText para mostrar la siguiente: "Al iniciar Windows, Windows Defender funciona para ayudar a proteger su PC mediante el escaneo de software malicioso o no deseado."

Según Abrams, supuesto autor del ransomware decidió burlarse de las víctimas y los investigadores mediante la creación de una cuenta en BleepingComputer y afirmando que una versión más reciente del ransomware se ha desarrollado y que es más difícil de descifrar. El desarrollador también afirmó que una nueva vulnerabilidad de día cero se utilizó para comprometer servidores e instalar el ransomware.

Los investigadores dicen que pagar el rescate no es una solución en el caso de un ataque, porque eso no garantiza que los datos sean recuperados. Para mantener sus datos seguros, los usuarios se les recomienda realizar una copia constantemente sus archivos, mantener su software al día, usar una solución anti-malware de confianza, evitar abrir archivos adjuntos o hacer clic en los enlaces que provienen de fuentes desconocidas, y desactivar el protocolo de escritorio remoto (RDP ) y los archivos que se ejecutan desde carpetas AppData/LOCALAPPDATA.


Fecha actualización el 2017-7-2. Fecha publicación el 2016-10-12. Categoría: Malware. Autor: Oscar olg Mapa del sitio
dxxd