NUEVO RANSOMWARE Amnesia que codifica incluso ficheros EXE !

Amnesia es un software malicioso desarrollado con el lenguaje de programación Delphi. Una vez dentro, este software malicioso cifra varios datos y añaden la extensión “.amnesia” a los nombres de archivo (por ejemplo, “sample.jpg” pasaría a llamarse “sample.jpg.amnesia”).

Se ha visto que si bien codifica tambien los EXE, no toca las carpetas de %windows% y %Archivos de Programa%
Otras versiones de este ransomware añaden las extensiones.CRYPTBOSS y .01 o .02 a los archivos encriptados. Al finalizar el cifrado, Amnesia crea un archivo de texto (“HOW TO RECOVER ENCRYPTED FILES.TXT”) y lo coloca en todas las carpetas que tengan archivos encriptados.

El archivo de texto de Amnesia contiene un mensaje que informa a las víctimas de la encriptación. Para restaurar los archivos comprometidos, las víctimas deben contactar supuestamente con los desarrolladores a través de la dirección de e-mail facilitada:(“s1an1er111@protonmail.com”;).

No se sabe aún si Amnesia usa criptografía simétrica o asimétrica; sin embargo, es imposible descifrar los archivos sin una clave privada. Los ciberdelincuentes almacenan esta clave en un servidor remoto y se insta a las víctimas a que paguen para conseguirla. No se conoce el coste con certeza aún; sin embargo, normalmente los que perpetran los cibersecuestros suelen pedir el equivalente entre $500 y 1500 en Bitcoins. No debe hacer caso de estos delincuentes, ya que suelen ignorar a sus víctimas una vez que el pago haya sido realizado. No intente nunca contactar con esa gente ni tampoco pagar un rescate. Por desgracia, no hay herramientas capaces de restaurar los archivos encriptados por Amnesia; solo puede restaurar sus archivos/sistema a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

toMix, Ranion, Apocalypse y decenas de virus encriptadores. Sepa que, como ocurre en Amnesia, estas infecciones por malware encriptan también datos y piden el pago de rescates. Existen solo dos diferencias principalmente: 1) tipo de algoritmo de cifrado (simetríco/asimétrico) y 2) precio de desencriptación.

Los virus de tipo ransomware se distribuyen a menudo a través de correos electrónico basura (adjuntos maliciosos), redes P2P y otras fuentes de descarga de software de terceros (sitios web de descarga gratuita, sitios web de alojamiento de archivos gratuitos, torrents, etc.), falsas herramientas de actualización de software y troyanos. Por tanto, vaya con cuidado al abrir archivos recibidos en e-mails sospechosos y al descargar software de fuentes no oficiales. Asimismo, mantenga actualizado el software instalado y use una solución antivirus o antiespía fiable. Tenga en cuenta, sin embargo, que los delincuentes usan asistentes falsos de actualización para propagar varios programas maliciosos. Por tanto, no use nunca ninguna herramienta de terceros para las actualizaciones. Las principales razones por las que se infecta el equipo son la falta de conocimiento y precaución. Lo fundamental de la seguridad informática es la precaución.

Ultima actualización

El analista de seguridad Fabian Wosar ha lanzado una herramienta gratuita de desencriptación para este virus encriptador. Puede descargarlo en:
https://decrypter.emsisoft.com/amnesia

Nota: Hoy mismo hemos recibido incidencias de dicho ransomware, que hemos pasado a controlar con el ELISTARA y de las que hemos informado en anteriores Noticias. Cabe indicar que pueden llegar incluso en XLS, EN LOS NO DEBEN ACTIVARSE LAS MACROS !!!

saludos

ms, 29-5-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies