¿Qué es el ransomware Pomochit?
Pomochit es un programa de tipo ransomware, identificado como parte de la familia de ransomware MedusaLocker. Este malware cifra archivos en el sistema infectado, con el objetivo de extorsionar a las víctimas para que paguen a cambio de descifrarlos.
Table of Contents
Cifrado de archivos y nota de rescate
En nuestra máquina de prueba, Pomochit añadió una extensión ".pomochit01" a los títulos de los archivos cifrados. Por ejemplo, "1.jpg" se convirtió en "1.jpg.pomochit01" y "2.png" se convirtió en "2.png.pomochit01". El número de la extensión puede variar según la variante del ransomware.
Después de completar el proceso de cifrado, Pomochit envió una nota de rescate llamada "How_to_back_files.html". Esta nota indica que el ransomware se dirige principalmente a grandes entidades y no a usuarios domésticos individuales.
La nota de rescate de Pomochit dice lo siguiente:
YOUR PERSONAL ID:
-
/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!
Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.
No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..
We only seek money and our goal is not to damage your reputation or prevent
your business from running.
You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.
Contact us for price and get decryption software.
email:
pomocit01@kanzensei.top
pomocit01@surakshaguardian.com
* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.
* Tor-chat to always be in touch:
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Descripción general de la nota de rescate
La nota de rescate de Pomochit revela que la red empresarial de la víctima se ha visto comprometida. Afirma que los archivos cifrados se aseguraron mediante algoritmos criptográficos RSA y AES. Además, durante el ataque se extrajeron datos confidenciales y personales.
La nota advierte a las víctimas que no cambien el nombre, modifiquen o utilicen herramientas de recuperación de terceros en los archivos cifrados, ya que estas acciones podrían hacer que los datos no se puedan cifrar. Los atacantes exigen un pago por el descifrado y amenazan con filtrar el contenido robado si no se cumplen sus demandas. Si no se establece contacto dentro de las 72 horas, el monto del rescate aumentará. Las víctimas pueden probar el descifrado de un par de archivos de forma gratuita antes de realizar el pago.
La naturaleza del ransomware Pomochit
Según una extensa investigación sobre infecciones de ransomware, generalmente es imposible descifrar archivos sin la participación de los atacantes. Sin embargo, pagar el rescate no garantiza la recuperación de datos, ya que los ciberdelincuentes a menudo no entregan las claves o el software de descifrado prometidos a pesar de recibir el pago. Por lo tanto, se desaconseja encarecidamente cumplir con las demandas de los delincuentes para evitar apoyar sus actividades ilegales.
Eliminar el ransomware Pomochit del sistema operativo evitará un mayor cifrado de datos. Desafortunadamente, la eliminación no restaurará los archivos ya comprometidos. La única solución es recuperarlos a partir de una copia de seguridad, si se creó una previamente y se almacena en otro lugar.
Estrategias de prevención y respaldo
La mejor manera de garantizar la seguridad de los datos es mantener copias de seguridad en varias ubicaciones separadas, como servidores remotos, dispositivos de almacenamiento desconectados y otros medios seguros.
OceanSpy, ZILLA, LostInfo y GameCrypt son algunas de las variantes de ransomware más nuevas. Estos programas funcionan de manera similar cifrando archivos y exigiendo un pago por descifrarlos.
Métodos de distribución de ransomware
Los ciberdelincuentes utilizan principalmente tácticas de phishing e ingeniería social para difundir ransomware y otro malware. El software malicioso suele disfrazarse de programas o medios comunes. Alternativamente, el malware se puede incluir con contenido normal.
Los archivos infecciosos vienen en varios formatos, como archivos (ZIP, RAR), ejecutables (.exe, .run) y documentos (Microsoft Office, PDF). Cuando se ejecuta un archivo malicioso, comienza la cadena de infección.
Métodos de distribución comunes
- Troyanos de puerta trasera/tipo cargador : programas maliciosos que proporcionan acceso no autorizado al sistema de la víctima.
- Descargas Drive-By : descargas sigilosas o engañosas iniciadas sin el conocimiento del usuario.
- Archivos adjuntos o enlaces maliciosos en correos electrónicos no deseados : correos electrónicos de phishing que contienen enlaces o archivos adjuntos dañinos.
- Estafas en línea y publicidad maliciosa : anuncios en línea engañosos o sitios web fraudulentos que conducen a descargas de malware.
- Canales de descarga no confiables : sitios de software gratuito y de terceros, redes para compartir P2P, etc.
- Herramientas de activación de software ilegales ("Cracks") : herramientas no autorizadas utilizadas para evitar la activación de software.
- Actualizaciones falsas : actualizaciones falsas para software legítimo que genera malware.
Mantenerse alerta y mantener prácticas de seguridad sólidas es esencial para combatir amenazas de ransomware como Pomochit. Las copias de seguridad periódicas, el manejo cuidadoso del correo electrónico y evitar descargas sospechosas pueden reducir significativamente el riesgo de infección. Recuerde, siempre es mejor prevenir que curar cuando se trata de ciberseguridad.
