MarsJoke ransomware amenaza para cifrar archivos de forma permanente si el rescate no se paga
Una nueva cepa de ransomware ha estado atacando a las agencias gubernamentales y las instituciones educativas en los Estados Unidos, a través de correos electrónicos fraudulentos que pretenden ser algo importante.
El malware, denominado como 'MarsJoke' por los investigadores de seguridad Proofpoint , según los informes, se inició una campaña de correo electrónico a gran escala que distribuye el cryptomalware la semana pasada. Los desarrolladores están enviando mensajes de correo electrónico que parece ser enmascarado como un mensaje de una compañía aérea.
Por alguna razón, se menciona sobre el seguimiento de un paquete, en el que el usuario tiene que hacer clic en una URL para poder seguir la pista del paquete. Al hacer clic, a continuación, el enlace redirige al usuario desprevenido a una descarga de un archivo ejecutable llamado "file_6.exe." Al ejecutar el archivo, esto activará el ransomware MarsJoke.
Una vez que se realiza el cifrado, se crea una serie de archivos, que consisten en !!! Para descifrar !!!. Murciélago, '' !!! README para descifrar !!!. Txt, 'y' ReadMeFilesDecrypt !!!. Txt, "que serán repartidas en varios lugares en el ordenador de la víctima. Los archivos cifrados se llega a mantener su extensión y archivos comp '.a19' y también aparecerán las extensiones de archivo .ap19, pero desaparecerán una vez que el proceso de cifrado se realiza. Se exigirá 0,7 Bitcoin, que es igual a 320 dolares en el momento de escribir este articulo.
Se modificará el fondo de escritorio de la víctima, afirmando que sus archivos han sido cifrados. También mostrará un contador de tiempo de 96 horas, que es el tiempo que la víctima ha dejado antes de que los archivos se cifran de forma permanente.
Al igual que otros ransomware, también asusta a los usuarios diciéndoles que cualquier acción tomada que no implique el pago de los cibercriminales se traducirá en sus archivos que se han perdido para siempre. Como una forma de convencer a la gente de que sus archivos realmente se pueden descifrar, sino que también ofrece descifrar dos archivos de forma gratuita. Por último, los ciberdelincuentes también incluyen una instrucción sobre cómo adquirir bitcoins.
El 22 de septiembre, Proofpoint detectó una gran campaña de correo electrónico ransomware MarsJoke. Los correos electrónicos contenían direcciones URL que vinculan a un archivo ejecutable llamado "file_6.exe" alojado en varios sitios con dominios registrados recientemente, al parecer con el fin de apoyar esta campaña. Se trata de una desviación de los más frecuentes campañas de documentos adjuntos que hemos observado recientemente con una gama de malware, como el ransomware Locky ampliamente distribuida. Los mensajes de esta campaña se utiliza un cuerpo de correo electrónico convincente y tenía una variedad de líneas de asunto que hacen referencia a una compañía aérea nacional importante, añadiendo un aire de legitimidad a los señuelos con la marca robada.
Esto son los cebos que emplea este malware par tener la ocasion de descargarse en el ordenador de la victima:
- Comprobación del número de seguimiento
- Comprobar su paquete
- Compruebe su TN
- Compruebe el número de seguimiento
- La información de seguimiento
- El seguimiento de su paquete
