Además de cifrar los archivos de una víctima, la familia STOP ransomware también ha comenzado a instalar el troyano de robo de contraseñas de Azorult en la computadora de la víctima para robar las credenciales de la cuenta, las carpetas de criptomonedas, los archivos de escritorio y más
El troyano Azorult es una infección de computadora que intentará robar nombres de usuario y contraseñas almacenados en navegadores, archivos en el escritorio de una víctima, carteras de criptomonedas, credenciales de Steam, historial del navegador, historial de mensajes de Skype y más. Esta información luego se carga en un servidor remoto que está bajo el control del atacante.
Cuando cubrimos por primera vez la variante DJVU del STOP Ransomware distribuido por grietas de software falso en enero, notamos que cuando se ejecutaba el malware descargaría varios componentes que se usan para realizar diferentes tareas en la computadora de la víctima. Estas tareas incluyen mostrar una pantalla falsa de Windows Update, deshabilitar Windows Defender y bloquear el acceso a los sitios de seguridad agregando entradas al archivo HOSTS de Windows.
Cuando el investigador de ransomware Michael Gillespie probó algunas variantes recientes, se dio cuenta de que una instalación Any.Run indicaba que uno de los archivos descargados por el ransomware creaba tráfico que provenía de una infección de Azorul. Gillespie además le dijo a BleepingComputer que cuatro muestras diferentes mostraban tráfico de red asociado con Azorult.
Cuando se ejecuta el ransomware, procedió a descargar los archivos enumerados en los IOC a continuación y cifrar la computadora. En esta variante en particular, cuando los archivos están encriptados, agregará la extensión .promorad a los archivos encriptados y creará notas de rescate llamadas _readme.txt
Las muestras de variante de Promorad Ransomware que probamos también descargan un archivo llamado 5.exe y lo ejecutan. Cuando se ejecute, el programa creará tráfico de red que es idéntico a las comunicaciones del servidor de comando y control conocidas para el troyano de robo de información de Azorult.
Además, cuando este archivo se analizó con VirusTotal , numerosos proveedores de seguridad detectan este archivo como un troyano que roba contraseñas.
Ser víctima de un ransomware es lo suficientemente malo, pero saber que sus contraseñas y documentos también pueden ser robados también agrega otra capa de problemas que las víctimas deben preocupar.
Las víctimas que han sido infectadas con una variante de STOP Ransomware deben cambiar inmediatamente las contraseñas a cualquier cuenta en línea que se utilice, especialmente las que se guardan en el navegador. Las víctimas también deben cambiar las contraseñas en software como Skype, Steam, Telegram y FTP Clients. Finalmente, las víctimas deben revisar los archivos almacenados en el escritorio de Windows para obtener información privada que pueda estar ahora en manos de los atacantes.
STOP Ransomware se ha convertido en una extensión prolífica con numerosas variantes y actualmente no se sabe cuánto tiempo llevan instalando Azorult. Por lo tanto, para estar seguros, todas las víctimas de STOP deben realizar la remediación anterior.
La lista conocida de extensiones STOP incluye: .blower .djvu .infowait .promok .promorad2 .promos .promoz .puma .rumba .tro
Fecha actualización el 2021-03-11. Fecha publicación el 2019-03-11. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer