BuSaveLock Ransomware cifrará sus archivos

Nuestro equipo de investigación descubrió recientemente una variante de ransomware llamada BuSaveLock, que pertenece a la familia MedusaLocker. Su objetivo principal es cifrar archivos y exigir el pago a cambio de descifrarlos. Además, BuSaveLock incorpora una nota de rescate ("How_to_back_files.html") y modifica los nombres de los archivos.

Para cambiar el nombre de los archivos, BuSaveLock agrega un número específico junto con la extensión ".busavelock" a los nombres de archivo originales. El número dentro de la extensión varía según la variante particular de BuSaveLock. Por ejemplo, un archivo originalmente llamado "1.jpg" se cambiaría a "1.jpg.busavelock53", mientras que "2.png" se convertiría en "2.png.busavelock53", y así sucesivamente.

La nota de rescate adjunta informa a la víctima que todos los archivos cruciales han sido encriptados usando métodos de encriptación RSA y AES. Se desaconseja encarecidamente intentar restaurar los archivos con software de terceros, ya que afirma que dichos intentos dañarían los archivos de forma permanente. Además, la nota instruye a las víctimas a no modificar ni cambiar el nombre de los archivos cifrados.

La nota de rescate afirma audazmente que ningún software disponible en Internet puede ayudar a resolver el problema, y enfatiza que los atacantes poseen la capacidad exclusiva de descifrar los archivos. Además, afirma que los atacantes han obtenido acceso a datos personales y altamente confidenciales, que actualmente se almacenan en un servidor privado. Si las víctimas se niegan a pagar, los atacantes amenazan con hacer públicos los datos o venderlos a terceros.

Como demostración de su capacidad para restaurar los archivos cifrados, la nota menciona que los ciberdelincuentes ofrecen descifrar 2-3 archivos no importantes de forma gratuita. La nota proporciona detalles de contacto para la comunicación, incluidas dos direcciones de correo electrónico: ithelp11@securitymy.name e ithelp11@yousheltered.com.

La nota de rescate concluye con una advertencia de que si no se contacta a los atacantes dentro de las 72 horas, se incrementará el precio del software de descifrado.

Nota de rescate de BuSaveLock amenaza con filtrar información robada

El texto completo de la nota de rescate de BuSaveLock dice lo siguiente:

SU IDENTIFICACIÓN PERSONAL:

LA RED DE SU EMPRESA HA SIDO PENETRADA
¡Todos sus archivos importantes han sido encriptados!

¡Tus archivos están seguros! Solo modificado. (RSA+AES)

CUALQUIER INTENTO DE RESTAURAR SUS ARCHIVOS CON SOFTWARE DE TERCEROS
LO CORROMPIRÁ PERMANENTEMENTE.
NO MODIFIQUE LOS ARCHIVOS CIFRADOS.
NO CAMBIE EL NOMBRE DE LOS ARCHIVOS CIFRADOS.

Ningún software disponible en Internet puede ayudarte. Somos los únicos capaces de
resuelve tu problema

Recopilamos datos altamente confidenciales/personales. Estos datos están actualmente almacenados en
un servidor privado. Este servidor será destruido inmediatamente después de su pago.
Si decide no pagar, divulgaremos sus datos al público o al revendedor.
Por lo tanto, puede esperar que sus datos estén disponibles públicamente en un futuro cercano.

Solo buscamos dinero y nuestro objetivo no es dañar su reputación o evitar
su negocio se ejecute.

Puede enviarnos 2-3 archivos no importantes y los descifraremos de forma gratuita
para demostrar que podemos devolverle sus archivos.

Póngase en contacto con nosotros para conocer el precio y obtener el software de descifrado.

correo electrónico:
ithelp11@securitymi.nombre
ithelp11@yousheltered.com

• Para contactarnos, cree una nueva cuenta de correo electrónico gratuita en el sitio: protonmail.com
  SI NO SE CONTACTA CON NOSOTROS DENTRO DE LAS 72 HORAS, EL PRECIO SERÁ MÁS ALTO.

¿Cómo puede ransomware como BuSaveLock infiltrarse en su sistema?

El ransomware como BuSaveLock puede infiltrarse en su sistema a través de varios métodos, que incluyen:

Archivos adjuntos de correo electrónico: un método común es a través de archivos adjuntos de correo electrónico maliciosos. Los piratas informáticos disfrazan el ransomware como archivos de aspecto inocente, como documentos o PDF, y los envían como archivos adjuntos de correo electrónico. Si, sin saberlo, abre y descarga el archivo adjunto, el ransomware se ejecuta en su sistema.

Enlaces maliciosos: el ransomware también se puede distribuir a través de correos electrónicos de phishing o mensajes que contienen enlaces a sitios web infectados. Hacer clic en estos enlaces puede conducir a la descarga y ejecución de ransomware en su sistema.

Kits de explotación: los ciberdelincuentes pueden explotar vulnerabilidades en software o sistemas operativos obsoletos. Mediante el uso de kits de explotación, pueden entregar automáticamente ransomware en su sistema cuando visita sitios web comprometidos o hace clic en anuncios maliciosos.

Descargas maliciosas: el ransomware se puede ocultar dentro de descargas aparentemente inofensivas de sitios web no confiables o comprometidos. Esto puede incluir grietas de software, generadores de claves o contenido pirateado, donde la carga útil del ransomware se incluye con la descarga prevista.

Vulnerabilidades del Protocolo de escritorio remoto (RDP): si su sistema tiene habilitado el Protocolo de escritorio remoto y es accesible a través de Internet con credenciales débiles o comprometidas, los atacantes pueden explotar estas vulnerabilidades para obtener acceso no autorizado e instalar ransomware.

Publicidad maliciosa: los anuncios maliciosos, también conocidos como publicidad maliciosa, pueden aparecer en sitios web legítimos. Estos anuncios pueden contener código malicioso que puede desencadenar la descarga e instalación de ransomware cuando se hace clic.

Descargas ocultas: el ransomware también se puede distribuir a través de descargas ocultas, que ocurren cuando visita un sitio web comprometido que descarga y ejecuta automáticamente el ransomware sin su conocimiento o interacción.