WANA CRY Ransomware intenta robar el trueno de Wannacry

En nuestro examen de nuevas muestras de malware, se reveló que WANA CRY es una forma de ransomware que imita otro conocido ransomware llamado WannaCry. WANA CRY se deriva del ransomware Chaos y está diseñado con el objetivo principal de cifrar archivos. Además, altera el fondo de pantalla del escritorio, genera una nota de rescate llamada "read_it.txt" y agrega cuatro caracteres aleatorios a los nombres de los archivos.

Como ilustración de cómo WANA CRY modifica los nombres de archivos, transforma "1.jpg" en "1.jpg.4bkv", "2.png" en "2.png.t29o", etc.

La nota de rescate le dice a la víctima que sus datos están cifrados y enfatiza que descifrarlos sin la ayuda de los atacantes es imposible. Para recuperar el acceso a los datos cifrados, se indica a la víctima que compre un software de descifrado especializado por un precio de 1.500 dólares. Se especifica explícitamente que el pago se realizará en Bitcoin.

Además, la nota de rescate proporciona detalles de pago, incluida la cantidad en Bitcoin (0,1473766 BTC) y la dirección de Bitcoin para el pago.

La nota de rescate de WANA CRY va al grano

El texto completo de la breve nota de rescate generada por WANA CRY dice lo siguiente:

WANA CRY @rivator_max

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?You can buy our special
decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search
yourself to find out how to buy Bitcoin.
Many of our customers have reported these sites to be fast and reliable:
Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com

Payment informationAmount: 0.1473766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

¿Cómo puede el ransomware infiltrarse en su sistema?

El ransomware puede infiltrarse en un sistema a través de varios métodos, a menudo aprovechando vulnerabilidades y comportamientos humanos. Estas son las formas comunes en que el ransomware puede ingresar a un sistema:

• Correos electrónicos de phishing: uno de los métodos más comunes es a través de correos electrónicos de phishing. Los ciberdelincuentes envían correos electrónicos que contienen archivos adjuntos o enlaces maliciosos que, al hacer clic en ellos, descargan y ejecutan el ransomware en el sistema de la víctima. Estos correos electrónicos a menudo se hacen pasar por fuentes legítimas, lo que los hace parecer dignos de confianza.
• Sitios web y anuncios maliciosos: visitar sitios web comprometidos o hacer clic en anuncios maliciosos en línea puede provocar la descarga e instalación de ransomware. Estos sitios web pueden explotar vulnerabilidades en el navegador o utilizar técnicas de ingeniería social para engañar a los usuarios para que descarguen contenido malicioso.
• Explotación de vulnerabilidades del software: el ransomware puede explotar vulnerabilidades en el software o los sistemas operativos para obtener acceso no autorizado. Es fundamental mantener el software y los sistemas operativos actualizados con los últimos parches de seguridad para mitigar el riesgo de explotación.
• Enlaces maliciosos en mensajes o redes sociales: los ciberdelincuentes pueden distribuir ransomware a través de enlaces compartidos en mensajes o plataformas de redes sociales. Estos enlaces pueden conducir a sitios web maliciosos o iniciar la descarga de archivos maliciosos al hacer clic en ellos.
• Publicidad maliciosa: los ciberdelincuentes pueden comprometer las redes de publicidad en línea y mostrar anuncios maliciosos en sitios web legítimos. Hacer clic en estos anuncios o visitar los sitios web afectados puede desencadenar descargas de ransomware.
• Ataques del Protocolo de escritorio remoto (RDP): los atacantes pueden explotar conexiones débiles o comprometidas del Protocolo de escritorio remoto para obtener acceso a un sistema. Una vez dentro, pueden implementar ransomware.