Justo cuando las personas pensaban que el ransomware está perdiendo su atractivo entre los ciberdelincuentes, SecureList, la investigación e informes de ciberamenazas de Kaspersky Lab, ha estado monitoreando un nuevo ransomware llamado KeyPass junto con otros investigadores de la comunidad de seguridad.

En la publicación de blog de SecureList, el ransomware KeyPass ha estado persistiendo y evolucionando en el ciberespacio, que comenzó este mes mientras las personas se centran en el malware cryptomining. Ha estado causando estragos en todo el mundo, con Brasil y Vietnam como los paises más afectados.

Kaspersky describe KeyPass como una “pieza indiscriminada de ransomware” que infectó las computadoras desde el 8 de agosto hasta el 10 de agosto sin ninguna preferencia particular.

Los investigadores de seguridad explican que el ransomware usa “instaladores falsos que descargan el módulo ransomware”. Cuando infectó la computadora de la víctima, luego copia “su ejecutable a %LocalAppData% y lo ejecutan”.

Nota de rescate

Tras la autorreplicación, el malware pasará la clave de cifrado y el ID de la víctima.

KeyPass es indiscriminado ya que también escanea todos los archivos que sin importar las extensiones de archivo. “Omite archivos ubicados en varios directorios, cuyas rutas están codificadas en la muestra”, escriben los investigadores.

“Cada archivo cifrado obtiene una extensión adicional: “.KEYPASS” y las notas de rescate llamadas “!!! KEYPASS_DECRYPTION_INFO !!!. Txt” se guardan en cada directorio procesado”, explica Kaspersky Lab.

El malware luego deja su nota de “rescate” con la extensión de archivo TXT donde ordena a las víctimas “comprar un programa y una clave individual para la recuperación de archivos”.

Prueba gratuita

Los delincuentes atraerán aún más a las víctimas al invitarlas a enviar un par de archivos para que los descifren “sin costo”.

Les costará a las víctimas $300 recuperar sus archivos. Los ciberdelincuentes, que brindan direcciones de correo electrónico, suben la urgencia al exigir que el “precio sea válido solo durante las primeras 72 horas después de la infección”.

“Sin embargo, recomendamos no pagar el rescate”, informan los investigadores de Kaspersky Lab.

Explicaron: “Si por alguna razón la computadora no está conectada a Internet cuando el malware comienza a funcionar, el malware no puede recuperar la clave de cifrado personal del servidor de C & C. En ese caso, usa una clave codificada, lo que significa que los archivos se pueden descifrar sin ningún problema; la clave ya está a mano. Desafortunadamente, en otros casos, no se bajará tan a la ligera: a pesar de la implementación bastante simple, los ciberdelincuentes no cometieron errores con el cifrado “.

Los investigadores admiten que “la herramienta para descifrar archivos afectados por KeyPass aún no se ha desarrollado”. Dieron precauciones simples, pero casi autoexplicativas, para proteger a los usuarios del ransomware. Estos incluyen tener cuidado con lo que los usuarios hacen clic en Internet. Si parece sospechoso y los usuarios siempre deben sospechar, simplemente no haga clic en él. Realice una copia de seguridad de todos los archivos importantes para que los delincuentes no obtengan un centavo de los usuarios porque los usuarios tienen duplicados de los archivos robados por los delincuentes.

También puedes leer: Trojan-Downloader.Win32.Rakhni el malware del tipo troyano que infecta con ransomware o criptominero

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *