Gyew Ransomware se basa en el código Djvu
Nuestro examen de muestras de malware descubiertas recientemente ha descubierto la variante del ransomware Gyew. Además, se ha identificado que Gyew está vinculado a la familia de malware Djvu. Esta variante particular de ransomware funciona cifrando archivos, agregando la extensión ".gyew" a sus nombres y dejando una nota de rescate llamada "_readme.txt" en el sistema afectado.
A modo de ejemplo, Gyew altera los nombres de archivos transformando "1.jpg" en "1.jpg.gyew", "2.png" en "2.png.gyew", etc. La nota de rescate afirma que numerosos archivos, que incluyen imágenes, bases de datos y documentos cruciales, han sido cifrados. Para restaurar el acceso a estos archivos, se indica a las víctimas que obtengan una herramienta de descifrado y una clave única. La nota ofrece tranquilidad al permitir a las víctimas enviar un archivo cifrado para su descifrado gratuito, siempre que el archivo carezca de información valiosa.
El costo para obtener la clave privada y el software de descifrado se fija en $980. Sin embargo, existe la oportunidad de aprovechar un descuento del 50% si las víctimas se comunican con los atacantes dentro de las 72 horas iniciales, lo que reduce efectivamente el costo a $490. Las víctimas pueden establecer comunicación con los ciberdelincuentes a través de las direcciones de correo electrónico proporcionadas: support@freshmail.top y datarestorehelp@airmail.cc.
La nota de rescate de Gyew exige un pago de 490 dólares
El texto completo de la nota de rescate de Gyew dice lo siguiente:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-CDZ4hMgp2X
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.To get this software you need write on our e-mail:
support@freshmail.topReserve e-mail address to contact us:
datarestorehelp@airmail.ccYour personal ID:
¿Cómo se distribuye habitualmente el ransomware en línea?
El ransomware normalmente se distribuye en línea a través de varios métodos y los atacantes suelen emplear múltiples técnicas para aumentar las probabilidades de éxito. Estas son las formas comunes en que se distribuye el ransomware:
Correos electrónicos de phishing:
Uno de los métodos más comunes es a través de correos electrónicos de phishing. Los atacantes envían correos electrónicos que contienen archivos adjuntos o enlaces maliciosos que, al hacer clic en ellos, descargan y ejecutan el ransomware en el sistema de la víctima.
Archivos adjuntos de correo electrónico maliciosos:
El ransomware se puede ocultar en archivos adjuntos de correo electrónico, como archivos ejecutables, PDF o documentos de Office. Una vez que se abre el archivo adjunto, se desata el ransomware.
Sitios web infectados:
Visitar sitios web comprometidos o maliciosos puede provocar la descarga e instalación automática de ransomware. Esto sucede a menudo a través de kits de exploits que aprovechan las vulnerabilidades del navegador o los complementos del usuario.
Publicidad maliciosa:
Los anuncios maliciosos en sitios web legítimos pueden redirigir a los usuarios a sitios que alojan ransomware. Al hacer clic en estos anuncios, se puede activar la descarga e instalación del ransomware.
Descargas desde el vehículo:
El ransomware se puede entregar mediante descargas no autorizadas, donde el malware se descarga e instala automáticamente en el dispositivo de un usuario sin su conocimiento o consentimiento cuando visita un sitio web comprometido.
