El ransomware DeathRansom, encripta archivos en unidades locales y de red, evitando archivos claves para la operación del Sistema Operativo.

Cuando se realizó el análisis pertinentes por Fortinet, se validó que DeathRansom, no cifra realmente el contenido del archivo, sólo agrega la extensión a los nombres, por lo que bastaba con quitar la extensión del archivo, para recuperarlos. A pesar de esto, como casi todo el ransomware, DeathRansom todavía muestra una nota de rescate llamada read_me.txt. En esa nota se puede ver claramente que el autor llama al malware DEATHRANSOM.

La nueva versión de este ransomware utiliza una combinación del algoritmo Curve25519 para el esquema de intercambio de claves Elliptic Curve Diffie-Hellman (ECDH), Salsa20, RSA-2048, AES-256 ECB y un algoritmo XOR de bloque simple para encriptar archivos.

Luego de cifrar los archivos, se muestra una nota de rescate, donde se solicita que se envíe por correo el ID único generado, a la dirección deathransom[@]airmail.cc, esto debido a que el ransomware, sólo tiene conexión a internet a la URL Hxxps[:]//iplogger[.]org/1zqq77, con el fin de obtener la IP pública de la víctima, es por ello que necesita que la víctima envíe por correo el ID de Bloqueo.

Indicadores de Compromiso (IoC)IP / URL

Hxxps[:]//iplogger[.]org/1zqq7788[.]99[.]66[.]31

Correo

deathransom[@]airmail.cc

Hash

a35596ed0bfb34de4e512a3225f8300a8ea78e5a123c13c3bda144d0fcf430c0c50ab1df254c185506ab892dc5c8e24b

Puntos objetivos de la amenaza

  • Todos los usuarios con sistemas operativos en Windows
  • Sobre todo, aquellos que tienen accesos para instalar programas en las PC’s, los procesos mencionados en esta alerta pueden ser instalados en el sistema a través de programas descargados de páginas web no confiables

Nuestras recomendaciones

  • A todos los usuarios que usan sistemas Windows y estén presentando una lentitud inusual, reportarlo con su área de sistemas inmediatamente.
  • Además, siempre evitar la instalación de programas gratuitos que se encuentran en Internet, muchos de ellos incluyen virus
  • Al equipo de Tecnología, se recomienda bloquear los IoC mencionados en los dispositivos de seguridad correspondientes.
  • Además, limitar los privilegios de instalaciones de programas en las PC’s y el acceso a páginas web de descarga de programas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .