ATCK Ransomware codifica los datos de las víctimas

Tras la investigación, se determinó que el malware ATCK pertenece a la familia de ransomware Dharma. Este malware cifra los archivos tras su infiltración, genera dos notas de rescate ("info.txt" y una ventana emergente) y modifica los nombres de los archivos.

Al modificar los nombres de los archivos, ATCK agrega la identificación de la víctima, la dirección de correo electrónico y la extensión ".ATCK" a los nombres de los archivos. Por ejemplo, "1.jpg" se convierte en "1.jpg.id-9ECFA84E.[attackattack@tutamail.com].ATCK", y "2.png" se convierte en "2.png.id-9ECFA84E.[attackattack@tutamail. es].ATCK".

La nota de rescate comienza indicando que todos los archivos han sido cifrados, pero le asegura a la víctima que los archivos se pueden restaurar. Proporciona una dirección de correo electrónico, attackattack@tutamail.com, para contacto, junto con una identificación específica. Si no hay respuesta dentro de las 12 horas, la nota recomienda utilizar otro correo electrónico, attackattack@cock.li.

Los atacantes ofrecen descifrar hasta tres archivos, cada uno de menos de 3 MB de tamaño y que no contienen datos valiosos como bases de datos o copias de seguridad.

Se incluyen instrucciones para obtener Bitcoins para pago, junto con una advertencia contra cambiar el nombre de los archivos cifrados o intentar descifrarlos con software no autorizado, ya que esto podría resultar en una pérdida permanente de datos o un aumento de las demandas de rescate.

Nota de rescate de ATCK en su totalidad

El texto completo de la nota de rescate más larga producida por ATCK dice lo siguiente:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: attackattack@tutamail.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:attackattack@cock.li
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

¿Cómo se puede minimizar el riesgo de pérdida de datos debido al ransomware?

Minimizar el riesgo de pérdida de datos debido al ransomware implica implementar una combinación de medidas preventivas y estrategias proactivas. Aquí hay varios pasos efectivos que puede tomar:

Copias de seguridad periódicas: mantenga copias de seguridad periódicas y automatizadas de sus datos críticos. Asegúrese de que las copias de seguridad se almacenen fuera de línea o en una ubicación de red separada a la que no se pueda acceder directamente desde sus sistemas principales. Esto le permite restaurar sus datos sin pagar un rescate si es atacado.

Actualice el software y parchee las vulnerabilidades: mantenga todo el software, incluidos los sistemas operativos y las aplicaciones, actualizado con los últimos parches de seguridad. Los atacantes de ransomware pueden aprovechar las vulnerabilidades del software obsoleto.

Utilice antivirus y protección de terminales: implemente software antivirus y soluciones de protección de terminales confiables en todos los dispositivos. Estas herramientas pueden detectar y bloquear amenazas conocidas de ransomware.

Restringir los permisos de los usuarios: limite los derechos de acceso de los usuarios según el principio de privilegio mínimo. Los usuarios solo deben tener acceso a los recursos necesarios para sus funciones laborales, lo que reduce el impacto del ransomware si un sistema se ve comprometido.

Implemente filtrado de correo electrónico y seguridad web: utilice soluciones de filtrado de correo electrónico para bloquear archivos adjuntos y enlaces maliciosos en los correos electrónicos. De manera similar, implemente controles de seguridad web para evitar que los usuarios accedan a sitios web maliciosos que podrían distribuir ransomware.