¿Qué es el ransomware KoRyA?

KoRyA es un tipo de ransomware que pertenece a la familia Xorist. Fue descubierto por investigadores de malware mientras examinaban muestras enviadas a bases de datos de amenazas en línea. KoRyA cifra los datos y agrega la extensión ".KoRyA" a los nombres de archivo, cambia el fondo de pantalla del escritorio, crea un archivo de texto titulado "CÓMO DESCIFRAR ARCHIVOS.txt" y muestra un mensaje de error.

La nota de rescate en el fondo de pantalla, el archivo de texto y el mensaje de error indican que las víctimas deben pagar 0,06 BTC (criptomoneda Bitcoin) a la dirección de billetera proporcionada y luego enviar un correo electrónico a korya@tuta.io para obtener herramientas de descifrado. Las víctimas tienen dos días para realizar el pago antes de que se eliminen sus claves de descifrado.

Cuando KoRyA está activo en un sistema, modificará los nombres de archivo agregando la extensión ".KoRyA" al final de cada uno; por ejemplo, "1.jpg" se convertiría en "1.jpg.KoRyA", "2.png" se convertiría en "2.png.KoRyA", y así sucesivamente. Además, cambiará el fondo de escritorio con una nota de rescate que exige el pago de 0,06 BTC para recibir herramientas de descifrado de korya@tuta .io.

La nota de rescate completa mostrada por KoRyA dice lo siguiente:

¡ATENCIÓN!

Todos sus archivos han sido encriptados

Y su descifrado te costará 0,06 bitcoins.

Para iniciar el proceso de descifrado, siga los pasos a continuación.

Paso 1) Asegúrate de enviar 0,06 bitcoins a esta billetera:

bc1q73lm30rgv6h9wy42y88t0r8prjh9l9pzpvvm9c

Paso 2) Contáctame a esta dirección de correo electrónico: korya@tuta.io

Con este Asunto: -

Una vez confirmado el pago,

¡recibirás el descifrador y las claves para el descifrado!

Otra información:

Si no posee bitcoin, puede comprarlo aquí muy fácilmente

www.coinmama.com

www.bitpanda.com

www.localbitcoins.com

www.paxful.com

Puede encontrar una lista más grande aquí:

hxxps://bitcoin.org/en/intercambios

Si el pago no se realiza en 2 días, consideraré que no desea descifrar sus archivos,

y por lo tanto las claves generadas para su PC serán eliminadas permanentemente.

Pagar a los actores de ransomware no es una buena idea por varias razones. En primer lugar, no hay garantía de que los atacantes realmente proporcionen las herramientas de descifrado después del pago. Incluso si lo hacen, no hay garantía de que las herramientas funcionen según lo prometido. Además, pagar el rescate solo alienta a los atacantes a continuar con sus actividades maliciosas y apuntar a más víctimas en el futuro.

Además, envía un mensaje a otros ciberdelincuentes de que los ataques de ransomware son rentables y pueden usarse como una forma efectiva de ganar dinero. Finalmente, pagar un rescate también podría ser ilegal dependiendo de dónde viva o dónde se encuentren los atacantes. Por estas razones, es mejor evitar pagar a los actores de ransomware y, en cambio, concentrarse en evitar que ocurran tales ataques en primer lugar tomando las medidas de seguridad adecuadas.