El ransomware CrypBits256 utiliza una nota de rescate en portugués

Durante nuestro examen de rutina de nuevas muestras de malware, nuestro equipo de investigadores se encontró con el ransomware CrypBits256. CrypBits256 es parte de la familia de ransomware Xorist y opera cifrando datos y exigiendo un rescate por su descifrado.

Cuando se lanzó CrypBits256 en nuestra máquina de prueba, comenzó a cifrar archivos y agregó la extensión ".CrypBits256PT2" a sus nombres de archivo originales. Por ejemplo, un archivo llamado "1.jpg" se convertiría en "1.jpg.CrypBits256PT2", mientras que "2.png" se convertiría en "2.png.CrypBits256PT2", y así sucesivamente.

Una vez que se completó el proceso de cifrado, CrypBits256 creó dos notas de rescate idénticas: una en forma de ventana emergente y la otra como un archivo de texto llamado "CÓMO DESCIFRAR ARCHIVOS.txt". El mensaje estaba escrito en portugués.

Tras la traducción, la nota de rescate explica a las víctimas que sus archivos y copias de seguridad se han cifrado y que solo pueden recuperarlos con una clave de descifrado y un software. Esta clave y el software se pueden obtener pagando un monto de rescate no especificado. La nota también advierte a las víctimas que cualquier intento de cambiar el nombre, modificar la extensión o eliminar los archivos cifrados resultará en una pérdida permanente de datos.

CrypBits256 Nota de rescate escrita en portugués

El texto completo de la nota de rescate de CrypBits256 dice lo siguiente:

Todos Dados/Backups foram criptografados
a unica forma de obtener os dados em seu perfeito estado é
entrar en contacto sin Email: auditorbit256@protonmail.com
e obter o decryptor+chave unica por un pequeño valor.
Dados en perfecto estado en 1 hora
prazo para o contacto 11/09/2022 12:00 ID-0004
(N = NÂO)

• N borrar arquivos trancados
• N não renomeie os arquivos trancados
• N não altere a extensao dos arquivos trancados .CrypBits256
• N não poste this mensagem em nenhum site
  no denuncie pois podem bloquee este correo electrónico.

¿Cómo puede ransomware como CrypBits256 infectar su sistema?

El ransomware como CrypBits256 puede infectar su sistema de varias maneras. Estos son algunos de los métodos más comunes utilizados por los atacantes de ransomware para distribuir su software malicioso:

Phishing por correo electrónico: uno de los métodos más comunes para propagar ransomware es a través de correos electrónicos de phishing. Los atacantes envían correos electrónicos que parecen provenir de una fuente confiable y contienen enlaces o archivos adjuntos que, al hacer clic, descargan el ransomware en la computadora de la víctima.

Sitios web maliciosos: el ransomware también se puede distribuir a través de sitios web maliciosos que contienen software o scripts infectados. Los atacantes utilizan tácticas de ingeniería social para atraer a las víctimas a estos sitios web y engañarlas para que descarguen e instalen el ransomware.

Explotación de vulnerabilidades: los atacantes de ransomware a menudo aprovechan las vulnerabilidades en el software o los sistemas operativos para obtener acceso a la computadora de la víctima. Estas vulnerabilidades se pueden encontrar en software obsoleto que no se ha parcheado con las últimas actualizaciones de seguridad.

Publicidad maliciosa: los atacantes también pueden usar publicidad maliciosa o publicidad maliciosa para propagar ransomware. Usan anuncios falsos que aparecen en sitios web legítimos para engañar a los usuarios para que hagan clic en ellos, lo que descarga el ransomware en su computadora.

En resumen, el ransomware como CrypBits256 puede infectar su sistema a través de varios métodos, incluido el phishing por correo electrónico, sitios web maliciosos, explotación de vulnerabilidades y publicidad maliciosa. Es importante estar atento y tomar medidas de precaución, como usar software antivirus, evitar enlaces o archivos adjuntos sospechosos, mantener el software actualizado y realizar copias de seguridad de los datos importantes con regularidad para evitar ataques de ransomware.