ReadText Ransomware cifrará sus unidades
Nuestro equipo de investigación encontró el ransomware ReadText durante nuestro examen de nuevos envíos. Este software malicioso pertenece a la familia de ransomware MedusaLocker.
ReadText funciona de forma típica del ransomware. Cifró los archivos en nuestra máquina de prueba y agregó una extensión ".readtext4" a los nombres de archivos originales. El número específico utilizado en la generación de extensiones finas puede variar según la variante del ransomware. Por ejemplo, un archivo originalmente llamado "1.jpg" se transformaría en "1.jpg.readtext4", y "2.png" en "2.png.readtext4", y así sucesivamente.
Posteriormente, depositó un mensaje de rescate llamado "How_to_back_files.html". De este mensaje se desprende claramente que ReadText se dirige a empresas y emplea tácticas de doble extorsión.
La nota asociada con el ransomware ReadText indica que la red corporativa de la víctima ha sido comprometida. Se han cifrado archivos críticos y se han robado datos personales o confidenciales.
El mensaje desaconseja alterar los nombres de los archivos cifrados o intentar recuperarlos utilizando herramientas de descifrado de terceros, ya que tales acciones harían que los datos sean irrecuperables.
Se informa a la víctima de la necesidad de pagar un rescate. El incumplimiento dará lugar a que los datos exfiltrados se filtren o se vendan. Además, retrasar el contacto durante más de 72 horas aumentará el monto del rescate. Antes de realizar el pago, la víctima tiene la opción de probar el proceso de descifrado enviando a los atacantes dos o tres archivos cifrados.
La nota de rescate de ReadText amenaza con fugas de datos
El texto completo de la nota de rescate de ReadText es el siguiente:
SU IDENTIFICACIÓN PERSONAL:
LA RED DE TU EMPRESA HA SIDO PENETRADA
¡Todos tus archivos importantes han sido cifrados!¡Tus archivos están seguros! Sólo modificado. (RSA+AES)
CUALQUIER INTENTO DE RESTAURAR SUS ARCHIVOS CON SOFTWARE DE TERCEROS
LO CORRUMPIRÁ PERMANENTEMENTE.
NO MODIFICAR ARCHIVOS CIFRADOS.
NO CAMBIAR EL NOMBRE DE LOS ARCHIVOS CIFRADOS.Ningún software disponible en Internet puede ayudarle. Somos los únicos capaces de
resuelve tu problema.Recopilamos datos personales/altamente confidenciales. Estos datos están actualmente almacenados en
un servidor privado. Este servidor será destruido inmediatamente después de su pago.
Si decide no pagar, divulgaremos sus datos al público o al revendedor.
Por lo tanto, puede esperar que sus datos estén disponibles públicamente en un futuro próximo.Sólo buscamos dinero y nuestro objetivo no es dañar su reputación ni impedir
su negocio deje de funcionar.Podrás enviarnos 2 o 3 archivos no importantes y los descifraremos gratis
para demostrar que podemos devolverle sus archivos.Contáctenos para conocer el precio y obtener software de descifrado.
correo electrónico:
ithelp15@seguridadmi.nombre
ithelp15@yousheltered.comPara contactarnos, cree una nueva cuenta de correo electrónico gratuita en el sitio: protonmail.com
SI NO SE CONTACTA CON NOSOTROS DENTRO DE LAS 72 HORAS, EL PRECIO SERÁ MÁS ALTO.Tor-chat para estar siempre en contacto:
¿Cómo se distribuye el ransomware en línea?
El ransomware se distribuye en línea a través de varios métodos, a menudo explotando vulnerabilidades en el software, técnicas de ingeniería social y archivos adjuntos o enlaces maliciosos. A continuación se muestran algunas formas comunes en que se distribuye el ransomware:
Correos electrónicos de phishing:
Los correos electrónicos de phishing son un método frecuente para difundir ransomware. Los atacantes envían correos electrónicos engañosos que parecen provenir de fuentes legítimas, como bancos, agencias gubernamentales u organizaciones confiables. Estos correos electrónicos contienen archivos adjuntos o enlaces maliciosos que, al hacer clic o abrirse, descargan y ejecutan ransomware en la computadora de la víctima.
Publicidad maliciosa:
La publicidad maliciosa implica que los ciberdelincuentes coloquen anuncios maliciosos en sitios web legítimos. Cuando un usuario hace clic en estos anuncios, sin saberlo, puede desencadenar la descarga de ransomware o ser redirigido a un sitio web que aloja kits de exploits, que luego entregan la carga útil del ransomware.
Descargas desde el vehículo:
Las descargas no autorizadas se producen cuando un usuario visita un sitio web comprometido o malicioso. En algunos casos, el sitio web aprovecha vulnerabilidades en el navegador web o los complementos del usuario para descargar e instalar automáticamente ransomware en el sistema del visitante sin ninguna interacción del usuario.
Kits de explotación:
Los kits de explotación son conjuntos de herramientas utilizados por los atacantes para identificar y explotar vulnerabilidades en el software de una víctima. Cuando un usuario visita un sitio web comprometido o hace clic en un enlace malicioso, el kit de exploits busca vulnerabilidades y entrega la carga útil del ransomware si se encuentra una vulnerabilidad.
Ataques de protocolo de escritorio remoto (RDP):
Los atacantes se dirigen a los puertos RDP expuestos e intentan obtener acceso no autorizado a la computadora o red de la víctima. Una vez dentro, implementan ransomware directamente en el sistema.
Archivos adjuntos maliciosos:
El ransomware se puede propagar a través de archivos adjuntos de correo electrónico, a menudo disfrazados de archivos inofensivos como PDF, documentos de Word o archivos ZIP. Cuando se abren estos archivos adjuntos, ejecutan scripts o macros maliciosos que inician la descarga del ransomware.
