Un nuevo ransomware llamado DeathRansom comenzó con un comienzo difícil, pero ahora ha resuelto sus problemas y ha comenzado a infectar a las víctimas y a cifrar sus datos.
Cuando DeathRansom se distribuyó por primera vez, pretendía cifrar archivos, pero los investigadores y los usuarios descubrieron que podían eliminar la extensión .wctc adjunta y los archivos volverían a ser utilizables.
Sin embargo, a partir del 20 de noviembre, algo cambió.
No solo se cifraron los archivos de la víctima, sino que hubo un aumento de envíos relacionados con DeathRansom en el sitio de identificación de ransomware, ID Ransomware.
Si bien los números han disminuido desde ese aumento inicial, todavía estamos viendo un goteo constante de nuevas víctimas, lo que significa que es muy probable que haya una campaña de distribución activa en curso. Desafortunadamente, todavía no hemos descubierto cómo se distribuye este ransomware.
Lo que sí sabemos es que, al igual que otros ransomware, cuando se inicie DeathRansom intentará borrar las instantáneas de volúmenes.
Luego encriptará todos los archivos en la computadora de la víctima que no sean aquellos cuyos nombres de ruta completos contienen las siguientes cadenas: ogramdata, $recycle.bin, program files, windows, all users, appdata, read_me.txt, autoexec.bat, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db
A diferencia de la versión anterior sin cifrado, las variantes de DeathRansom que funcionan no agregan una extensión a los archivos cifrados y solo conservan su nombre original. Los datos en estos archivos están encriptados.
La única forma de identificar que el archivo está encriptado por DeathRansom es mediante el ABEFCDABmarcador de archivo adjunto al final de los archivos encriptados.
En cada carpeta en la que se cifra un archivo, el ransomware creará una nota de rescate llamada read_me.txt que contiene una "ID de BLOQUEO" única para la víctima y una dirección de correo electrónico para contactar al desarrollador o afiliado del ransomware.
El ransomware se está analizando actualmente y no se sabe si se puede descifrar en este momento.
Una cosa extraña que se notó es que numerosas víctimas que han sido infectadas por DeathRansom también fueron infectadas por el STOP Ransomware .
Esto se ve en una publicación de Reddit y en numerosos envíos a ID-Ransomware donde la víctima carga una nota de rescate de DeathRansom y un archivo cifrado STOP Djvu como parte del mismo envío.
Como STOP solo se distribuye a través de paquetes de adware y grietas, es posible que el DeathRansom se distribuya de manera similar.
Fecha actualización el 2021-11-26. Fecha publicación el 2019-11-26. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer Version movil