Hyj Ransomware produce una nota de rescate en ruso
Nuestro equipo de investigadores encontró el ransomware Hyj durante el examen de nuevas muestras de archivos. Este software malicioso forma parte de la familia de ransomware Xorist. El malware está diseñado para cifrar datos y exige un rescate por descifrarlos.
Al ejecutar una muestra de este ransomware en nuestro sistema de prueba, cifró los archivos y añadió una extensión ".hyj" a sus nombres. Por ejemplo, un archivo originalmente llamado "1.jpg" se transformó en "1.jpg.hyj" y "2.png" se convirtió en "2.png.hyj", y así sucesivamente para todos los archivos comprometidos.
Una vez finalizado el proceso de cifrado, se generaron dos notas de rescate idénticas en ruso: una como ventana emergente y otra como un archivo de texto llamado "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt". Vale la pena señalar que si el sistema no admite el alfabeto cirílico, el texto de la ventana emergente aparecerá como caracteres ininteligibles.
La nota de rescate le informa a la víctima que sus archivos han sido cifrados y le indica que inicie el proceso de descifrado enviando un correo electrónico a los atacantes. El mensaje también advierte que si no se contacta con los atacantes se eliminarán las claves de descifrado, lo que imposibilitará la recuperación de datos.
Nota de rescate de Hyj compuesta en ruso
El texto completo de la nota de rescate de Hyj dice lo siguiente:
Ваши файлы были зашифрованны. Para que estés limpiando tus archivos, no debes ponerte en contacto con nadie en la dirección correcta.
desm4578@rambler.ru
Ждем ответа , если не получим ответа , удаляем ключи расшифровки Ваших файлов
Укажите в письме цифру 1
¿Cómo puede ingresar un ransomware como Hyj a su sistema?
El ransomware como Hyj puede infiltrarse en su sistema a través de varios medios y es crucial comprender estos puntos de entrada para proteger mejor su computadora. A continuación se detallan formas comunes en que el ransomware puede ingresar a su sistema:
- Correos electrónicos de phishing: el ransomware a menudo se propaga a través de correos electrónicos de phishing. Es posible que reciba un correo electrónico que parezca legítimo pero que contenga archivos adjuntos o enlaces maliciosos. Hacer clic en estos enlaces o abrir archivos adjuntos infectados puede iniciar la infección del ransomware.
- Archivos adjuntos de correo electrónico maliciosos: los ciberdelincuentes pueden enviarle correos electrónicos con archivos adjuntos que, cuando se abren, ejecutan ransomware en su sistema. Estos archivos adjuntos pueden disfrazarse de facturas, archivos PDF u otros archivos aparentemente inofensivos.
- Sitios web infectados: visitar sitios web comprometidos o maliciosos puede provocar descargas no autorizadas, en las que el ransomware se instala silenciosamente en su computadora sin su conocimiento. Los complementos o el software obsoletos pueden ser particularmente vulnerables a estos ataques.
- Vulnerabilidades del software: explotar las vulnerabilidades de seguridad en su sistema operativo o software es otra forma en que el ransomware puede ingresar a su sistema. Mantener su software actualizado con parches de seguridad es crucial para la protección.
- Software sin parches: no actualizar o parchear su software puede dejar su sistema vulnerable a vulnerabilidades conocidas. Los ciberdelincuentes se aprovechan de esto desarrollando ransomware que se dirige a estas vulnerabilidades.
- Publicidad maliciosa: se pueden encontrar anuncios maliciosos o publicidad maliciosa en sitios web legítimos. Hacer clic en estos anuncios puede provocar infecciones de ransomware. El uso de un bloqueador de anuncios puede reducir el riesgo.