Kmrox Ransomware es un miembro de la familia Phobos

ransomware

Durante el examen de los envíos de muestras de archivos nuevos, nuestros investigadores encontraron otra variante del ransomware Phobos llamada Kmrox. Este tipo de malware pertenece a la categoría de ransomware, que está diseñado para cifrar datos y exigir un pago por descifrarlos.

En nuestro sistema de prueba, Kmrox codificó archivos y modificó sus nombres. Los nombres de los archivos originales se ampliaron con una identificación única vinculada a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".kmrox". Por ejemplo, un archivo originalmente etiquetado como "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox", y así sucesivamente. Después de esto, se generaron notas de rescate a través de una ventana emergente ("info.hta") y un archivo de texto ("info.txt").

Los mensajes de rescate de Kmrox especifican que los archivos son inaccesibles debido al cifrado. Las notas indican que la única forma de recuperar los archivos es comprar la clave de descifrado y el software a los ciberdelincuentes. El pago se requiere en forma de criptomoneda Bitcoin, aunque la cantidad exacta no se menciona en estos mensajes; solo se sugiere que el pago podría verse influenciado por la rapidez con la que se establece el contacto.

La víctima también tiene la opción de realizar una prueba de descifrado gratuita (dentro de parámetros específicos). Las notas concluyen con advertencias contra la alteración de los datos cifrados y la búsqueda de ayuda de terceros.

Kmrox utiliza una larga nota de rescate

El texto completo de la nota de rescate de Kmrox dice lo siguiente:

¡Todos tus archivos han sido cifrados!

Por el momento no hay forma de descifrar los datos, excepto solicitarnos un descifrador y una clave con la que recuperarás todos tus datos.
Si desea restaurarlos, escríbanos por correo electrónico: exezez@blaze420.it
Escriba este ID en el título de su mensaje -
Para obtener comentarios rápidos y convenientes, escriba al operador en línea en Telegram Messenger: @exezaz
(Tenga cuidado al ingresar el nombre de la cuenta de Telegram, debe ser exactamente el mismo que el anterior, tenga cuidado con las cuentas falsas).
Además, desde algunos servicios de correo, es posible que su carta no llegue al spam o no llegue a ser spam, por lo que para aumentar la probabilidad de recibir una respuesta rápida, también duplique sus cartas a nuestras direcciones de correo electrónico adicionales: helze@cyberfear.com y exezaz@msgden.com.
El pago por el descifrado se realiza en bitcoins. Para conocer el precio, escriba a los contactos anteriores. Cuanto antes contactes con nosotros, menor será el precio. Después del pago, le enviaremos una herramienta que descifrará todos sus archivos.

Descifrado gratuito como garantía
Antes de pagar, puede enviarnos hasta 3 archivos para descifrarlos de forma gratuita. El tamaño total de los archivos debe ser inferior a 4 Mb (no archivados) y los archivos no deben contener información valiosa. (bases de datos, copias de seguridad, hojas de Excel grandes, etc.)

Cómo obtener Bitcoins
Puede comprar Bitcoin en cualquier lugar que le resulte conveniente; aquí encontrará una guía para principiantes:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

¡Atención!
Para obtener ayuda garantizada para descifrar sus archivos, comuníquese únicamente con los contactos que figuran en esta nota, porque en este momento hay muchos estafadores que,
Con el pretexto de que pueden descifrar sus datos, solicite un descifrado gratuito a través de nosotros y hagalo pasar como una demostración de que pueden descifrar sus archivos.
Recuerde que la clave para descifrar archivos es individual en cada caso individual, por lo que no podrá descifrar sus archivos usted mismo utilizando software de terceros, solo los dañará.
Si desea comunicarse a través de un intermediario, consulte previamente el precio con nuestro operador, ya que los intermediarios suelen pagar el precio real. !!! Al contactar con terceros,
¡¡¡No garantizamos el descifrado de sus archivos!!!
Además, para evitar problemas con el descifrado, no cambie el nombre de sus archivos.

¿Qué es la familia de clones de Phobos Ransomware?

La familia de ransomware Phobos consta de un grupo de variantes de ransomware que comparten características y métodos de operación similares. Estas variantes a menudo se denominan "clones" porque se cree que derivan del mismo código fuente original o comparten un marco común. La familia de ransomware Phobos es conocida por cifrar los archivos de las víctimas y exigir un rescate por descifrarlos.

Las variantes del ransomware Phobos suelen presentar las siguientes características:

  • Cifrado de archivos: como la mayoría de los ransomware, las variantes de Phobos cifran los archivos de las víctimas utilizando potentes algoritmos de cifrado, lo que hace que los archivos sean inaccesibles sin una clave de descifrado.
  • Notas de rescate: Phobos ransomware crea notas de rescate que informan a las víctimas sobre el cifrado y brindan instrucciones sobre cómo pagar el rescate para obtener la clave de descifrado.
  • Contactos de correo electrónico: las notas de rescate suelen incluir direcciones de correo electrónico que las víctimas pueden utilizar para ponerse en contacto con los atacantes y obtener más instrucciones sobre el pago y el descifrado.
  • Extensiones únicas: las variantes de Phobos a menudo añaden extensiones únicas a los archivos cifrados, haciéndolos fácilmente identificables. Estas extensiones suelen ser una combinación de caracteres o identificadores aleatorios.
  • Pagos de Bitcoin: las demandas de rescate generalmente se solicitan en criptomonedas, particularmente Bitcoin, debido a su naturaleza seudónima que hace que sea más difícil de rastrear.
  • Variabilidad en los montos de rescate: las diferentes variantes del ransomware Phobos pueden tener diferentes montos de rescate, a menudo dependiendo de factores como el perfil de la víctima y la rapidez con la que se ponen en contacto con los atacantes.
  • Distribución dirigida: Phobos ransomware se distribuye comúnmente a través de correos electrónicos de phishing, archivos adjuntos maliciosos, kits de explotación y otros métodos utilizados por los ciberdelincuentes para difundir malware.
  • Base de código similar: las variantes de Phobos comparten similitudes en el código y el comportamiento, lo que sugiere una fuente o marco común que los atacantes han modificado para crear versiones diferentes.

Es importante señalar que, si bien las variantes de Phobos comparten similitudes, también pueden evolucionar con el tiempo con nuevas características, tácticas y técnicas. Como ocurre con cualquier ransomware, la mejor defensa contra Phobos y sus variantes es una combinación de sólidas prácticas de ciberseguridad, copias de seguridad periódicas de los datos, mantener el software actualizado y mantener un enfoque cauteloso con los archivos adjuntos y enlaces de los correos electrónicos.

En Zaib
August 29, 2023
Ransomware
Spanish
August 29, 2023
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.