Kiqu Ransomware cifrará los sistemas de las víctimas

En el transcurso del análisis de muestras de malware, nos encontramos con una variante particular de ransomware identificada como Kiqu. Este ransomware opera encriptando archivos y modificando sus nombres de archivo, agregando la extensión ".kiqu". Además, Kiqu genera un archivo de texto llamado "_readme.txt", que sirve como nota de rescate.

Para ilustrar cómo Kiqu altera los nombres de archivo, cambia el nombre de archivos como "1.jpg" a "1.jpg.kiqu", "2.png" a "2.png.kiqu", y así sucesivamente. En particular, Kiqu está asociado con la familia de ransomware Djvu y, a menudo, se distribuye junto con otras amenazas.

La nota de rescate emitida por los atacantes proporciona instrucciones cruciales e incluye dos direcciones de correo electrónico (support@freshmail.top y datarestorehelp@airmail.cc). Se insta urgentemente a las víctimas a ponerse en contacto con los ciberdelincuentes dentro de un plazo de 72 horas para evitar una escalada en el pago del rescate. Inicialmente, las herramientas de descifrado se exigen a una tarifa de $490, pero si las víctimas no responden dentro del período especificado, el monto del rescate se duplica y asciende a $980.

La nota de rescate enfatiza la necesidad de obtener el software de descifrado y una clave única de los atacantes para restaurar los archivos cifrados. Además, se hace una oferta para descifrar un solo archivo de forma gratuita, con la advertencia de que el archivo no debe contener ningún dato de importancia o valor significativo.

La nota de rescate de Kiqu sigue el patrón Djvu

El texto completo de la nota de rescate de Kiqu dice lo siguiente:

¡ATENCIÓN!

¡No te preocupes, puedes devolver todos tus archivos!
Todos sus archivos como imágenes, bases de datos, documentos y otros importantes están encriptados con el cifrado más fuerte y una clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías tienes?
Puede enviar uno de sus archivos cifrados desde su PC y lo descifraremos de forma gratuita.
Pero podemos descifrar solo 1 archivo de forma gratuita. El archivo no debe contener información valiosa.
Puede obtener y ver la herramienta de descifrado de descripción general de video:
hxxps://we.tl/t-lOjoPPuBzw
El precio de la clave privada y el software de descifrado es de $980.
Descuento del 50% disponible si nos contacta las primeras 72 horas, ese precio para usted es de $490.
Tenga en cuenta que nunca restaurará sus datos sin pagar.
Revisa la carpeta de correo "Spam" o "Basura" si no recibes respuesta en más de 6 horas.

Para obtener este software, debe escribir en nuestro correo electrónico:
support@freshmail.arriba

Reservar dirección de correo electrónico para contactar con nosotros:
datarestorehelp@airmail.cc

Su identificación personal:

¿Cómo puede ransomware como Kiqu entrar en su sistema?

El ransomware como Kiqu puede llegar a su sistema a través de varios vectores de ataque. Comprender estos puntos de entrada es crucial para implementar medidas de ciberseguridad efectivas para proteger su sistema. Aquí hay algunas formas comunes en que el ransomware como Kiqu puede infiltrarse en su sistema:

• Correos electrónicos de phishing: uno de los métodos más frecuentes es a través de correos electrónicos de phishing. Los atacantes envían correos electrónicos engañosos que parecen legítimos y contienen archivos adjuntos o enlaces maliciosos. Cuando los usuarios, sin saberlo, abren estos archivos adjuntos o hacen clic en los enlaces, el ransomware se descarga en su sistema.
• Sitios web maliciosos: visitar sitios web comprometidos o maliciosos puede provocar descargas ocultas, donde el ransomware se descarga y ejecuta automáticamente en su sistema sin su conocimiento.
• Publicidad maliciosa: los atacantes pueden usar anuncios maliciosos (publicidad maliciosa) en sitios web legítimos para entregar ransomware a usuarios desprevenidos. Hacer clic en estos anuncios puede desencadenar la descarga e instalación del ransomware.
• Explotación de vulnerabilidades de software: el ransomware puede explotar vulnerabilidades de seguridad en su sistema operativo, software o aplicaciones. Es crucial mantener su sistema y software actualizados con los últimos parches para minimizar estos riesgos.
• Explotación del protocolo de escritorio remoto (RDP): si tiene habilitados los servicios de escritorio remoto sin las medidas de seguridad adecuadas, los atacantes pueden explotar las vulnerabilidades de RDP para obtener acceso no autorizado a su sistema e implementar ransomware.
• Enlaces maliciosos en las redes sociales: los ciberdelincuentes pueden usar plataformas de redes sociales para distribuir enlaces a sitios web maliciosos que alojan ransomware. Los usuarios pueden, sin saberlo, hacer clic en estos enlaces, iniciando el proceso de infección.