¿Qué es el ransomware ZILLA (Dharma)?
ZILLA es una cepa de ransomware que pertenece a la famosa familia Dharma. Al infectar un sistema, ZILLA cifra los archivos, les cambia el nombre y deja notas de rescate en una ventana emergente y en un archivo de texto llamado "ZILLA-INFO.txt".
Table of Contents
Cómo ZILLA cambia el nombre de los archivos
El ransomware cambia el nombre de los archivos agregando el ID de la víctima, la dirección de correo electrónico filezilla@cock.li y la extensión ".ZILLA". Por ejemplo, "1.jpg" se convierte en "1.jpg.id-9ECFA84E.[filezilla@cock.li].ZILLA" y "2.png" cambia a "2.png.id-9ECFA84E.[filezilla@cock .li].ZILLA."
Descripción general de la nota de rescate de ZILLA
Instrucciones en la nota de rescate
La nota de rescate dirige a las víctimas a enviar un correo electrónico a filezilla@cock.li, incluyendo su identificación en el mensaje. Si no hay respuesta dentro de las 12 horas, se proporciona un correo electrónico alternativo (filezilla@cyberfear.com). A las víctimas se les ofrece la posibilidad de descifrar hasta tres archivos (de menos de 3 MB cada uno) de forma gratuita antes del pago.
La nota de rescate de ZILLA dice lo siguiente:
ZILLA
Don't worry, you can return all your files!
If you want to restore them, write to the mail: filezilla@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:filezilla@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Advertencias y recomendaciones
La nota advierte contra el cambio de nombre de archivos cifrados o el uso de herramientas de descifrado de terceros, advirtiendo que tales acciones podrían provocar una pérdida permanente de datos o costos adicionales.
Más detalles sobre el ransomware
Problemas de confianza con los ciberdelincuentes
Por lo general, sólo los ciberdelincuentes detrás de los ataques de ransomware poseen las herramientas de descifrado necesarias para la recuperación de archivos. Sin embargo, a menudo no proporcionan estas herramientas incluso después del pago. Por lo tanto, se desaconseja pagar el rescate para evitar perder tanto datos como dinero.
Potencial de recuperación sin pagar
Las víctimas pueden recuperar archivos sin pagar el rescate si tienen copias de seguridad o pueden localizar herramientas de descifrado de terceros. También es fundamental eliminar el ransomware para evitar más cifrados y evitar que el malware se propague a través de una red local.
Características del ransomware de la familia Dharma
Impacto y persistencia del sistema
Dharma ransomware cifra archivos locales y compartidos en red, desactiva los firewalls y elimina las instantáneas de volumen. Garantiza la persistencia copiándose en la ruta "%LOCALAPPDATA%" y registrándose con claves de ejecución específicas. Además, recopila datos de ubicación y puede excluir ciertas ubicaciones predeterminadas.
ransomware en general
Definición y función del ransomware
El ransomware es un tipo de malware que los ciberdelincuentes utilizan para exigir un pago a cambio de herramientas de descifrado. Las víctimas no pueden acceder a sus archivos sin pagar a menos que tengan copias de seguridad o herramientas de descifrado de terceros. Es recomendable almacenar archivos importantes en un servidor remoto o en un dispositivo de almacenamiento fuera de línea para protegerse contra ataques de ransomware.
Ejemplos de variantes de ransomware
Otros ejemplos de variantes de ransomware incluyen LostInfo, GameCrypt y RADAR.
¿Cómo infectó el ransomware mi computadora?
Métodos de infección
Los actores de amenazas utilizan varios métodos para engañar a los usuarios para que infecten sus computadoras. Estos métodos incluyen ocultar ransomware en software pirateado, herramientas de crack y generadores de claves, enviar correos electrónicos fraudulentos con archivos adjuntos o enlaces maliciosos, explotar vulnerabilidades en software o sistemas operativos obsoletos y crear anuncios maliciosos.
Canales de infección adicionales
Los ciberdelincuentes también utilizan redes P2P, descargadores de terceros, sitios web comprometidos o engañosos, estafas de soporte técnico, sitios de alojamiento de archivos gratuitos y canales similares para engañar a los usuarios para que descarguen y ejecuten malware. El ransomware de la familia Dharma a menudo infecta sistemas a través de servicios RDP vulnerables, utilizando fuerza bruta o ataques de diccionario en credenciales mal administradas.
Cómo protegerse de las infecciones de ransomware
Medidas preventivas
Para evitar infecciones de ransomware, tenga cuidado con los archivos y enlaces de correos electrónicos inesperados de remitentes desconocidos. Abstenerse de interactuar con anuncios, ventanas emergentes, botones, enlaces u otro contenido en sitios sospechosos. Evite descargar software pirateado o herramientas destinadas a eludir la activación y obtenga siempre software y archivos de sitios web oficiales y tiendas de aplicaciones acreditadas.
Mantenimiento y protección del sistema
Escanee periódicamente su sistema en busca de amenazas utilizando una herramienta de seguridad confiable y mantenga actualizado su sistema operativo y todo el software. Si su computadora ya está infectada con ZILLA, ejecute un análisis con una aplicación antimalware para eliminar automáticamente el ransomware.
