Thanatos Ransomware el primero en usar Bitcoin Cash

Cuando Thanatos Ransomware infecta a una víctima usará una nueva clave para cada archivo encriptado

El problema, según el investigador Francesco Muroni, es que estas claves nunca se guardan en ningún lado. Esto significa que si un usuario paga el rescate, el desarrollador de ransomware no tiene un método que realmente pueda descifrar cada archivo.

Por lo tanto, no se recomienda que las víctimas paguen el rescate de Thanatos por ningún motivo.

La buena noticia es que, de acuerdo con Muroni, es posible aplicar la fuerza bruta de la clave de cifrado para cada archivo.

Esto llevaría bastante tiempo y requeriría que el archivo sea un tipo de archivo común con un encabezado mágico conocido.

Thanatos es el primer ransomware en aceptar Bitcoin Cash

Mientras que la parte de cifrado de Thanatos es un desastre, el ransomware introduce algo nuevo. Ese es el primer ransomware en aceptar Bitcoin Cash como pago de rescate.

Para aquellos que no están familiarizados con Bitcoin Cash, es una nueva criptomoneda que se separó de Bitcoin. Cuando Bitcoin tocó el bloque 478,558, se bifurcó Bitcoin en una nueva criptomoneda llamada Bitcoin Cash. Cuando se produjo esta horquilla, los titulares de Bitcoin recibieron una cantidad equivalente de efectivo de Bitcoin. Por ejemplo, si un usuario tenía 2 Bitcoins en el momento de la horquilla, también habría recibido 2 Bitcoin Cash.

Mientras Thanatos acepta tanto Bitcoin como Etherum como pago de rescate, esta es la primera vez que se acepta el Bitcoin Cash

Cómo Thanatos Ransomware encripta una computadora

Cuando Thanatos Ransomware encripta una computadora, generará una nueva clave de encriptación para cada archivo encriptado. Como se discutió anteriormente, desafortunadamente estas claves de cifrado no se guardan en ningún lado y, según los investigadores, los desarrolladores no podrían descifrar los archivos, incluso si se realiza un pago de rescate.

Al encriptar archivos, agregará la extensión .THANATOS al nombre de un archivo encriptado. Por ejemplo, un archivo llamado test.jpg sería encriptado y renombrado como test.jpg.THANATOS.

Una vez finalizado el proceso de cifrado, se conectará a la URL de iplogger.com/1t3i37 para realizar un seguimiento de la cantidad de víctimas que se han infectado.

Finalmente, generará una clave de ejecución automática llamada "Microsoft Update System Web-Helper" que abre la nota de rescate README.txt cada vez que un usuario inicia sesión.

Esta nota de rescate contiene instrucciones para enviar un pago de rescate de $ 200 USD a una de las direcciones de efectivo de Bitcoin, Ethereum o Bitcoin mencionadas. A continuación, se indica al usuario que se ponga en contacto con thanatos1.1@yandex.com con su ID de víctima exclusiva para recibir un programa de descifrado.

Como ya se dijo, este ransomware no se puede descifrar normalmente debido a que no guarda las claves de cifrado y, por lo tanto, no se debe realizar el pago del rescate. Si alguien está infectado con este ransomware, debe contactarnos sobre la posible creación de un programa de fuerza bruta.

Fecha actualización el 2021-02-26. Fecha publicación el 2018-02-26. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputerr
ransomware