Arch ransomware
Los investigadores de Infosec han descubierto una nueva y peligrosa amenaza de ransomware que se ha desatado en la naturaleza. Llamada Arch Ransomware, la amenaza se ha clasificado como una variante que pertenece a la familia de ransomware Makop. Los usuarios infectados con Arch Ransomware se encontrarán efectivamente bloqueados de sus propios archivos. De hecho, casi todos los archivos en los sistemas informáticos comprometidos con la amenaza se volverán inaccesibles a través de una rutina de cifrado que emplea algoritmos criptográficos fuertes.
Arch Ransomware exhibe los rasgos habituales asociados con este tipo de malware. Primero, cifra los tipos de archivo específicos, luego modifica los nombres de los archivos afectados añadiéndoles una cadena de caracteres, seguida de una dirección de correo electrónico bajo el control de los piratas informáticos y, finalmente, una nueva extensión de archivo. La dirección de correo electrónico es 'bobwhite@msgsafe.io' mientras que la extensión es '.arch'. El siguiente paso es dejar caer la nota de rescate con instrucciones para las víctimas. La amenaza lo hace creando archivos de texto llamados 'readme-warning.txt' en todas las carpetas que contienen datos cifrados.
La nota de Arch Ransomware está estructurada como una pregunta frecuente y, según ella, los ciberdelincuentes quieren recibir un rescate pagado en Bitcoin si van a enviar el software de descifrado que podría potencialmente restaurar los archivos bloqueados. Los usuarios afectados pueden iniciar el contacto enviando un mensaje a cualquiera de los dos correos electrónicos que se encuentran en la nota: uno es el mismo que el correo electrónico colocado en los nombres de los archivos cifrados, mientras que el otro es 'bobwhite@cock.li'. Para demostrar su capacidad para descifrar los archivos del usuario, los piratas informáticos permiten adjuntar hasta dos archivos al mensaje de correo electrónico. Los archivos no deben ser bases de datos y deben tener un tamaño inferior a 1 MB.
El texto completo de la nota de Arch Ransomware es:
::: Saludos :::
Pequeñas preguntas frecuentes:
.1.
P: ¿Qué pasa?
R: Sus archivos se han cifrado y ahora tienen la extensión "arch". La estructura del archivo no se dañó, hicimos todo lo posible para que esto no sucediera..2.
P: ¿Cómo recuperar archivos?
R: Si desea descifrar sus archivos, deberá pagar en bitcoins..3.
P: ¿Qué pasa con las garantías?
R: Es solo un negocio. No nos preocupamos en absoluto por usted y sus ofertas, excepto por obtener beneficios. Si no hacemos nuestro trabajo y responsabilidades, nadie cooperará con nosotros. No es de nuestro interés.
Para comprobar la capacidad de devolver archivos, puede enviarnos 2 archivos con extensiones SIMPLES (jpg, xls, doc, etc ... ¡no bases de datos!) Y tamaños bajos (máximo 1 mb), los descifraremos y devolveremos para ti. Esa es nuestra garantía..4.
P: ¿Cómo contactar contigo?
R: Puede escribirnos a nuestro buzón: bobwhite@msgsafe.io o bobwhite@cock.li.5.
P: ¿Cómo procederá el proceso de descifrado después del pago?
R: Después del pago, le enviaremos nuestro programa de escáner-decodificador e instrucciones detalladas de uso. Con este programa podrás descifrar todos tus archivos cifrados..6.
P: ¿Si no quiero pagarle a gente mala como tú?
R: Si no coopera con nuestro servicio, para nosotros, no importa. Pero perderá su tiempo y sus datos, porque solo nosotros tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero.:::TENER CUIDADO:::
¡NO intente cambiar los archivos cifrados usted mismo!
Si intenta utilizar cualquier software de terceros para restaurar sus datos o soluciones antivirus, haga una copia de seguridad de todos los archivos cifrados.
Cualquier cambio en los archivos cifrados puede conllevar el daño de la clave privada y, como resultado, la pérdida de todos los datos.
