MUESTRA ENVIADA DESDE MEXICO DE FICHERO CIFRADO POR NUEVO RANSOMWARE TODARIUS

Recibimos desde La Paz (México) un fichero cifrado de nombre “LA MEMORIA PRINCIPAL.docx.gerosan” del que hemos podido obtener la siguiente información

El texto del fichero de “rescate” indica lo siguiente:

_____________

ATTENTION!

Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-hvv30uAtTY
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
gorentos@firemail.cc

Our Telegram account:
@datarestore

Your personal ID:
101nHfssdrAJG6bvVkArX0mIsEIwLNmkKgHo2Mpg7YKm2c4C9

____________

Y de la lectura del txt anterior, que presenta este ransomware,

buscando en Google, gorentos@bitmessage.ch , vemos la siguiente información:

…………

¿Cómo podemos infectarnos con Gorentos@bitmessage.ch Todarius?

Podemos infectarnos con Gorentos@bitmessage.ch Todarius por navegar por sitios web maliciosos o sitios que hayan sido infectado con virus. Un método muy usado para la infección con este ransomware es el drive-by-download, webs vulneradas con scripts maliciosos que buscarán vulnerabilidades en nuestro ordenador para infectarnos. Otro método puede ser mediante emails spam con archivos adjuntos o enlaces a webs maliciosas. Debemos estar atentos a este tipo de emails ya que muchas veces nos intentan engañar haciéndonos creer que tienen un paquete o una carta para nosotros que no han conseguido entregarnos. No debemos ni descargar los archivos adjuntos que traigan ni clicar sobre los enlaces que haya en el email, esto puede infectarnos con Gorentos@bitmessage.ch Todarius.

El ransomware Gorentos@bitmessage.ch Todarius ‘secuestra’ una amplia variedad de archivos, incluyendo imágenes, audios y documentos ofimáticos. Entre los formatos de archivos afectados hay que destacar los que llevan las siguientes extensiones:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Al usuario infectado se le notificará mediante la modificación de su fondo de pantalla, donde podrá ver el siguiente texto:

All your files have been encrypted!

Las víctimas del virus que pagan la multa y siguen las instrucciones del mensaje podrían recuperar sus archivos personales y eliminar el ransomware, pero no es aconsejable hacerlo. En lugar de esto, es aconsejable eliminar el malware siguiendo distintos procedimientos. Pagar el rescate puede llegar a causar más problemas a los usuarios.
¿Qué debemos hacer una vez infectados por Gorentos@bitmessage.ch Todarius?
En este artículo no voy a poder ayudaros a recuperar los archivos encriptados, sólo voy a daros algunas recomendaciones, como utilizar ShadowExplorer o software (libre) de recuperación de archivos, para recuperar los documentos. El artículo está escrito para ayudaros a eliminar la infección en sí, y si encuentro un método eficiente para recuperar los archivos cifrados, actualizaré el artículo.

Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.
Seguir los pasos del siguiente apartado para limpiar la infección y proceder a recuperar las Volume Shadow Copies.
Proceder a la restauración de las copias de seguridad.
Intentar recuperar los archivos con herramientas forenses.
Estar atentos a las actualizaciones de las páginas: https://decrypter.emsisoft.com/, https://id-ransomware.malwarehunterteam.com/ o https://www.nomoreransom.org/decryption-tools.html
Herramientas de Kaspersky: http://support.kaspersky.com/viruses/utility.

……………

No tenemos muestra de dicho ransomware, solo un fichero cifrado enviado por el usuario afectado, y el txt de dicho ransomware, pero por lo menos con ello hemos podido buscar en Google la información arriba indicada, que esperamos servirá de información a los usuarios interesados en dicho engendro.

Esperando que lo indicado les sirva de utilidad, aprovechamos la ocasión para saludarles atte.

ms, 17-6-2019