HUNTER Ransomware cifra el contenido del sistema

ransomware

Durante nuestro examen de muestras de malware, descubrimos HUNTER, una variante de ransomware que pertenece a la familia Phobos. Este malware cifra archivos, modifica sus nombres y presenta dos notas de rescate denominadas "info.txt" e "info.hta". Además, el ransomware HUNTER añade el ID de la víctima, una dirección de correo electrónico y la extensión ".HUNTER" a los nombres de archivos.

Por ejemplo, transforma "1.jpg" en "1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER" y "2.png" en "2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER", y así sucesivamente. La nota de rescate informa a la víctima sobre el cifrado de sus archivos debido a un problema de seguridad en su PC. Proporciona una dirección de correo electrónico (hunter-x@tuta.io) para comunicarse con los atacantes y recomienda incluir una identificación específica en la línea de asunto del correo electrónico. En ausencia de una respuesta dentro de las 24 horas, se indica a la víctima que se comunique con los atacantes a través de una cuenta de Telegram (@Online7_365).

La nota exige el pago en Bitcoins para el descifrado, y la cantidad varía según la rapidez con la que la víctima contacta a los atacantes. Como garantía, ofrece descifrado gratuito de hasta tres archivos, siempre que tengan menos de 4 MB y carezcan de información valiosa.

Además, se advierte a la víctima que no cambie el nombre de los archivos cifrados ni intente descifrarlos utilizando software de terceros para evitar la pérdida permanente de datos o ser víctima de estafas.

Nota de rescate de HUNTER en su totalidad

El texto completo de la nota de rescate generada por HUNTER en la ventana emergente y el archivo info.hta dice lo siguiente:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

¿Cómo puede un ransomware similar a HUNTER infectar su sistema?

Un ransomware similar a HUNTER puede infectar su sistema a través de varios métodos, que incluyen:

Correos electrónicos de phishing: un método común es a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Estos correos electrónicos pueden parecer legítimos y, a menudo, emplean tácticas de ingeniería social para engañar a los usuarios para que abran archivos adjuntos o hagan clic en enlaces, que luego descargan y ejecutan el ransomware en el sistema.

Sitios web maliciosos: visitar sitios web comprometidos o maliciosos también puede provocar infecciones de ransomware. Estos sitios web pueden explotar vulnerabilidades en navegadores web o complementos para descargar e instalar ransomware silenciosamente en el sistema de la víctima sin su conocimiento o consentimiento.

Explotación de vulnerabilidades del software: el ransomware puede explotar vulnerabilidades en el software, como sistemas operativos, navegadores web o complementos, para obtener acceso no autorizado a un sistema. Los atacantes pueden aprovechar vulnerabilidades conocidas para las cuales no se han aplicado parches o actualizaciones, lo que permite que el ransomware se infiltre en el sistema.

Ataques de Protocolo de escritorio remoto (RDP): los atacantes de ransomware pueden atacar sistemas con conexiones de Protocolo de escritorio remoto (RDP) expuestas o débilmente protegidas. Pueden utilizar ataques de fuerza bruta u obtener credenciales robadas para obtener acceso no autorizado al sistema e implementar ransomware.

Descargas maliciosas: los usuarios pueden descargar ransomware sin darse cuenta al hacer clic en anuncios maliciosos, descargar software o contenido pirateado de fuentes no confiables o instalar actualizaciones de software o aplicaciones falsas de sitios web dudosos.

Publicidad maliciosa: los anuncios maliciosos, o publicidad maliciosa, pueden redirigir a los usuarios a sitios web que alojan kits de exploits que entregan cargas útiles de ransomware. Estos anuncios pueden aparecer en sitios web legítimos y pueden infectar los sistemas de los usuarios sin su interacción o conocimiento.

Descargas no autorizadas: el ransomware también se puede distribuir mediante descargas no autorizadas, donde el malware se descarga y ejecuta automáticamente cuando un usuario visita un sitio web comprometido o interactúa con contenido malicioso incrustado en páginas web.

En Zaib
March 29, 2024
Ransomware
Spanish
March 29, 2024
Ransomware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.