Variantes de Ransomware Matrix

Dos nuevas variantes de Matrix Ransomware fueron descubiertas por MalwareHunterTeam que se están instalando a través de servicios de Escritorio remoto pirateados

Si bien estas dos variantes cifran los archivos de su computadora, uno es un poco más avanzado con más mensajes de depuración y el uso de cifrado para eliminar espacio libre.

Basándose en los mensajes de depuración mostrados por el ransomware cuando se ejecuta, este ransomware se está distribuyendo actualmente a las víctimas por los atacantes que fuerzan las contraseñas de los servicios de Escritorio remoto conectados directamente a Internet.

Una vez que los atacantes obtienen acceso a una computadora, cargan el instalador y lo ejecutan.

Existen dos variantes diferentes que se distribuyen

Actualmente, se están distribuyendo dos variantes diferentes de Matrix en este momento. Ambas variantes se instalan sobre RDP pirateado, encriptan recursos compartidos de red no asignados, muestran ventanas de estado mientras cifran, borran copias de volúmenes ocultos y cifran los nombres de los archivos.

Sin embargo, hay algunas pequeñas diferencias entre las dos variantes, y la segunda [RestorFile@tutanota.com] está un poco más avanzada.

Estas diferencias se describen a continuación.

Variante 1: [Files4463@tuta.io]

Esta variante, identificada por la extensión [Files4463@tuta.io], es la menos avanzada. Cuando se ejecute esta variante, se abrirán las dos ventanas al mismo tiempo para mostrar el estado de la infección. Una ventana es para mensajes de estado con respecto a la encriptación y la otra es para información con respecto a la exploración de redes compartidas.

Cuando los archivos están encriptados, encriptará el nombre del archivo y luego agregará la extensión [RestorFile@tutanota.com]. Por ejemplo, test.jpg se cifraría y cambiaría de nombre a algo lie 0ytN5eEX-RKllfjug. [Files4463@tuta.io].

Esta variante también incluirá una nota de rescate llamada !ReadMe_To_Decrypt_Files!.rtf en cada carpeta que se escanea. Esta nota de rescate contiene las direcciones de correo electrónico Files4463@tuta.io, Files4463@protonmail.ch y Files4463@gmail.com que se utilizan para contactar al atacante y realizar un pago de rescate.

Lamentablemente, esta variante de Matrix Ransomware no se puede descifrar de forma gratuita.

Variante 2: [RestorFile@tutanota.com]

La segunda variante se identifica mediante el uso de la extensión [RestorFile@tutanota.com].

Si bien esta variante funciona de manera similar a la anterior, es un poco más avanzada ya que tiene mejores mensajes de depuración y utiliza el comando de cifrado para sobrescribir todo el espacio libre en la computadora una vez que se haya completado el cifrado. Además, esta variante utiliza diferentes direcciones de correo electrónico de contacto, una extensión diferente y un nombre de nota de rescate diferente.

Cuando se ejecute esta variante, utilizará las siguientes ventanas que muestran el estado de la infección. Tenga en cuenta que hay una mayor anotación que se muestra en esta variante en comparación con la anterior.

Cuando los archivos están encriptados, encriptará el nombre del archivo y luego agregará la extensión [RestorFile@tutanota.com] . Por ejemplo, test.jpg se cifraría y cambiaría de nombre a algo lie 0ytN5eEX-RKllfjug. [RestorFile@tutanota.com] .

Esta variante también arrojará una nota de rescate llamada # Decrypt_Files_ReadMe #. rtf en cada carpeta que se escanea. Esta nota de rescate contiene las direcciones de correo electrónico RestorFile@tutanota.com, RestoreFile@protonmail.com y RestoreFile@qq.com que se utilizan para contactar al atacante y realizar un pago de rescate.

Después de que esta variante termine de encriptar la computadora, ejecutará el comando zcode>"cipher.exe / w:c" para sobrescribir el espacio libre en la unidad C :. Esto es para evitar que la víctima use herramientas de recuperación de archivos para recuperar sus archivos.

Desafortunadamente, al igual que la variante anterior, esta no se puede descifrar de forma gratuita.

Fecha actualización el 2021-04-09. Fecha publicación el 2018-04-09. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
Ransomware Matrix