Itrz Ransomware cifrará los sistemas de las víctimas

Al examinar nuevas muestras de archivos maliciosos, nos topamos con una variante de ransomware conocida como Itrz. Este ransomware cifra archivos y modifica sus nombres añadiendo la extensión ".itrz". Además, Itrz genera una nota de rescate, que normalmente se encuentra en un archivo llamado "_readme.txt".

Itrz altera los nombres de los archivos de la siguiente manera: cambia un archivo como "1.jpg" por "1.jpg.itrz", "2.png" por "2.png.itrz", etc. Es importante tener en cuenta que Itrz está vinculado a la familia de ransomware Djvu y los ciberdelincuentes pueden distribuirlo junto con malware de robo de datos como RedLine o Vidar.

En la nota de rescate, los atacantes afirman que han empleado un método de cifrado robusto para bloquear los archivos de la víctima, que incluyen fotografías, bases de datos, documentos y otros datos cruciales. Para restaurar el acceso normal a los archivos, se espera que la víctima pague por una herramienta de descifrado y una clave única, que desbloqueará los datos cifrados.

Los atacantes ofrecen una prueba de descifrado gratuita al permitir que la víctima envíe uno de sus archivos cifrados desde su computadora, que será descifrado sin costo alguno. Sin embargo, especifican que esta oferta de descifrado gratuito se aplica sólo a un único archivo y no debe contener información valiosa.

La nota de rescate describe que el costo inicial de obtener la clave privada y el software de descifrado es de $980. Sin embargo, enfatiza que está disponible un descuento del 50% hasta $490 en dinero de rescate si la víctima se comunica con ellos dentro de los primeros 3 días posteriores a la infección. La nota subraya que si no se realiza el pago, la recuperación de datos será imposible.

Para adquirir el software de descifrado, se indica a la víctima que se comunique con los ciberdelincuentes a través de las siguientes direcciones de correo electrónico: support@freshmail.top o datarestorehelp@airmail.cc.

La nota de rescate de Itrz proporciona correos electrónicos de contacto

El texto completo de la nota de rescate de Itrz dice lo siguiente:

¡ATENCIÓN!

¡No te preocupes, puedes devolver todos tus archivos!
Todos sus archivos, como imágenes, bases de datos, documentos y otros importantes, están cifrados con el cifrado más potente y una clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías tienes?
Puede enviar uno de sus archivos cifrados desde su PC y lo descifraremos de forma gratuita.
Pero solo podemos descifrar 1 archivo de forma gratuita. El archivo no debe contener información valiosa.
Puede obtener y ver la herramienta de descifrado de descripción general del video:
hxxps://we.tl/t-cGZhpvUKxk
El precio de la clave privada y el software de descifrado es de $980.
Descuento del 50% disponible si nos contacta en las primeras 72 horas, el precio para usted es de $490.
Tenga en cuenta que nunca restaurará sus datos sin pagar.
Revise la carpeta "Spam" o "Basura" de su correo electrónico si no recibe respuesta en más de 6 horas.

Para obtener este software necesita escribir a nuestro correo electrónico:
soporte@freshmail.top

Reserva tu dirección de correo electrónico para contactar con nosotros:
restauración de datoshelp@airmail.cc

Su identificación personal:

¿Cómo se distribuye el ransomware como Itrz?

El ransomware como Itrz se puede distribuir a través de varios métodos, que incluyen, entre otros:

• Correos electrónicos de phishing: uno de los métodos de distribución más comunes son los correos electrónicos de phishing. Los ciberdelincuentes envían correos electrónicos aparentemente legítimos con archivos adjuntos o enlaces maliciosos. Cuando el destinatario interactúa con estos archivos adjuntos o enlaces, el ransomware se descarga y ejecuta en su sistema.
• Sitios web maliciosos: los ciberdelincuentes pueden crear sitios web que ofrecen descargas atractivas, como software descifrado o aplicaciones gratuitas. Los usuarios que visitan estos sitios y descargan el contenido ofrecido pueden instalar ransomware en sus computadoras sin saberlo.
• Descargas no autorizadas: en algunos casos, el ransomware se puede distribuir mediante descargas no autorizadas. Cuando un usuario visita un sitio web comprometido o malicioso, el ransomware se descarga y ejecuta automáticamente en su sistema sin su conocimiento o consentimiento.
• Explotación de vulnerabilidades: el ransomware puede explotar vulnerabilidades de software en sistemas operativos o aplicaciones. Si el sistema de un usuario no está actualizado con los parches de seguridad, puede ser susceptible a ataques de ransomware.
• Publicidad maliciosa: la publicidad maliciosa, o publicidad maliciosa, implica la inyección de código malicioso en anuncios en línea. Cuando los usuarios hacen clic en estos anuncios, pueden descargar ransomware en sus dispositivos sin darse cuenta.
• Intercambio de archivos de igual a igual (P2P): el ransomware puede venir incluido con software pirateado o pirateado que los usuarios descargan de redes de intercambio de archivos P2P. Esta es una forma común de infectar a usuarios que buscan obtener software ilegalmente.
• Ataques de protocolo de escritorio remoto (RDP): los atacantes pueden aprovechar las credenciales RDP débiles o predeterminadas para obtener acceso a un sistema, desde el cual pueden instalar manualmente ransomware o utilizar herramientas automatizadas para propagarlo.
• Droppers de malware: algunos ransomware se distribuyen mediante droppers de malware. Se trata de piezas independientes de malware que se instalan inicialmente en un sistema y, a su vez, descargan y ejecutan el ransomware.