El Ransomwared Ransomware pide imágenes desnudas en lugar de Bitcoins

Una familia de ransomware llamada Ransomwared ha estado haciendo las noticias últimamente, y hay al menos dos muy buenas razones para esto. Por un lado, está dirigido a usuarios individuales en lugar de organizaciones grandes, lo cual es algo inusual en la actualidad. Quizás más notables, sin embargo, son las demandas que hacen los delincuentes. Parece que ya no se trata solo de los bitcoins.

No hay muchos detalles sobre la reciente campaña Ransomwared

Aunque mucha gente parece estar hablando de las muestras Ransomwared recién descubiertas, los detalles reales sobre la distribución y operación de la amenaza son escasos en el terreno. Los expertos que lo han examinado no han dicho nada sobre cómo se toparon con él. No hay información sobre los métodos de distribución y la ingeniería social utilizada para engañar a las víctimas para que instalen el ransomware, y solo podemos adivinar cuántas personas han sido afectadas.

Lo que sí sabemos con certeza es que los delincuentes nunca quisieron ganar dinero con la campaña actual.

Los delincuentes cifran los archivos de los usuarios y exigen imágenes explícitas a cambio del descifrador

Una vez implementado, Ransomwared cifra los archivos que encuentra en la computadora infectada y, en las versiones más recientes, agrega la extensión de archivo.iwanttits. La falta de análisis técnico significa que no podemos estar seguros de qué archivos apunta Ransomwared, pero las capturas de pantalla que los investigadores de seguridad han compartido sugieren que solo cifra los datos que encuentra en las siguientes carpetas:

  • C:\Users\[Username]\Documents\
  • C:\Users\[Username]\Pictures\
  • C:\Users\[Username]\Videos\
  • C:\Users\[Username]\Music\

A diferencia de la mayoría de las familias de malware de este tipo, Ransomwared no deja ninguna nota de rescate. En cambio, una vez que está listo con el cifrado, muestra una ventana emergente con el siguiente mensaje:

"Los archivos están encriptados. Muéstrame tus tetas para descifrarlo".

Al hacer clic en el botón Aceptar se abre otra ventana, que muestra que los archivos en los cuatro directorios mencionados anteriormente están encriptados. Hay un campo para la clave de recuperación y un segundo mensaje:

Estás rescatado! Para recuperar tus archivos, envíanos un correo electrónico con tus tetas a: sashagrey@blurred.credit"

Los investigadores de Emsisoft observaron más de cerca las nuevas muestras y señalaron con razón que los delincuentes olvidaron mencionar qué tipo de tetas están buscando. Los expertos sugirieron que en lugar de tomarse fotos desnudas de sí mismas y enviarlas por correo electrónico a una dirección que lleva el nombre de una ex estrella porno, las víctimas podrían intentar enviar fotos de pequeños pájaros cantores y ver si eso satisface los deseos de los delincuentes. Sin embargo, incluso eso no será necesario, porque los archivos cifrados con Ransomwared se pueden descifrar fácilmente.

Restaurar datos no necesita involucrar imágenes de desnudos

Pedir a las víctimas imágenes de desnudos a cambio de desbloquear sus archivos podría ser una técnica relativamente reciente empleada por los operadores de Ransomwared, pero el malware en sí no es nuevo en absoluto. Unos minutos en Google le dirán que la cepa estaba haciendo las rondas por primera vez a fines de 2018, y aunque las demandas en ese entonces eran un poco más tradicionales, la operación del ransomware era bastante idéntica. Cuando lo vieron por primera vez, los investigadores de seguridad analizaron la familia de ransomware y rápidamente se dieron cuenta de que no era muy avanzada.

El mecanismo de cifrado de Ransomwared se basa en DES (abreviatura de Data Encryption Standard), un algoritmo de cifrado de clave simétrica desarrollado en la década de 1970. Es un algoritmo débil en el mejor de los casos, y para colmo, el análisis técnico de las muestras recientes de Ransomwared reveló que la clave que desbloquea los archivos de las personas se almacena en el código fuente del malware en texto sin formato.

Sin embargo, no es necesario que revise el código para descifrar sus archivos. A principios de mes, Emsisoft lanzó una herramienta de descifrado gratuita que puede desbloquear archivos cifrados por versiones nuevas y antiguas de Ransomwared.

Las víctimas de ransomware a menudo cometen el error de saltar el arma y ceder a las demandas de los delincuentes sin pensar en las consecuencias. Como puede ver, sin embargo, a menudo, unos pocos minutos de investigación son suficientes para ahorrarle algunas monedas criptográficas o, en este caso, mucha vergüenza. Dicha investigación también puede darle una idea de la importancia de las copias de seguridad.

February 14, 2020

Deja una respuesta