ATCK ransomware

Tras la investigación, los analistas de seguridad determinaron que el malware ATCK funciona como ransomware. Los investigadores especializados en seguridad de la información identificaron por primera vez a ATCK mientras examinaban posibles amenazas de malware. Una vez que se infiltra con éxito en un sistema, ATCK procede a cifrar numerosos archivos. Además, presenta dos notas de rescate a la víctima: un archivo de texto llamado "info.txt" y una ventana emergente que contiene un mensaje similar.

ATCK modifica los nombres de los archivos originales durante el proceso de cifrado de archivos agregando el identificador único de la víctima, la dirección de correo electrónico y la extensión '.ATCK'. Por ejemplo, un archivo llamado '1.doc' se modificaría a '1.doc.id-9ECFA74E.[attackattack@tutamail.com].ATCK' y, de manera similar, '2.pdf' se convertiría en '2.pdf. id-9ECFA74E.[attackattack@tutamail.com].ATCK', y así sucesivamente.

Además, se ha verificado que ATCK Ransomware pertenece a la familia de malware Dharma , un conocido grupo de software malicioso.

El ransomware ATCK bloquea los datos de las víctimas y las extorsiona por dinero

La nota de rescate dejada por ATCK Ransomware comienza informando a la víctima que todos sus archivos han sido cifrados, seguido de la garantía de que estos archivos se pueden restaurar. La nota proporciona la dirección de correo electrónico de los atacantes, attackattack@tutamail.com, para fines de comunicación, junto con una identificación específica asignada al caso de la víctima. Si no se recibe respuesta dentro de las 12 horas, la nota recomienda utilizar otra dirección de correo electrónico, attackattack@cock.li, para futuras comunicaciones.

Además de describir el proceso de comunicación, la nota de rescate ofrece descifrar hasta tres archivos, siempre que cada archivo tenga un tamaño inferior a 3 MB y no contenga datos críticos como bases de datos o copias de seguridad.

Además, la nota incluye instrucciones sobre cómo adquirir Bitcoins para pago y advierte contra cambiar el nombre de los archivos cifrados o intentar descifrarlos con software de terceros. Hacerlo podría provocar una pérdida permanente de datos, mayores costos de rescate o posibles tácticas.

Más allá de las instrucciones de rescate, ATCK Ransomware demuestra capacidades avanzadas, incluida la capacidad de cifrar archivos locales y compartidos en red, desactivar el firewall, eliminar instantáneas de volumen (un método utilizado para la recuperación de datos), establecer mecanismos de persistencia para mantener el acceso y recopilar datos de ubicación y al mismo tiempo ser capaz de excluir ubicaciones específicas de su proceso de cifrado. Estas funcionalidades mejoran el impacto del ransomware y hacen que la recuperación sea más desafiante para los usuarios afectados.

¿Cómo proteger mejor sus datos y dispositivos contra las amenazas de ransomware?

Proteger datos y dispositivos de las amenazas de ransomware requiere una combinación de medidas proactivas y vigilancia continua. A continuación se detallan varios pasos clave que los usuarios pueden seguir para mejorar sus defensas contra el ransomware:

• Mantenga el software actualizado : asegúrese de que todos los sistemas operativos, aplicaciones de software y programas antimalware estén actualizados periódicamente poniendo en servicio los últimos parches y actualizaciones de seguridad. Muchos ataques de ransomware aprovechan vulnerabilidades conocidas que pueden mitigarse manteniéndose actualizado con las actualizaciones de software.
• Utilice un software de seguridad sólido : instale software antimalware confiable en todos los dispositivos y manténgalos actualizados. Este software puede ayudar a detectar y bloquear amenazas de ransomware antes de que puedan ejecutarse.
• Habilite la protección del firewall : active el firewall en sus dispositivos para ayudar a prevenir el acceso no autorizado y bloquear las amenazas entrantes para que no lleguen a su sistema.
• Sea siempre cauteloso con los archivos adjuntos y enlaces de correo electrónico : tenga cuidado al acceder a archivos adjuntos de correo electrónico o al hacer clic en enlaces, especialmente de remitentes desconocidos o sospechosos. El ransomware a menudo se propaga a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos.
• Realice copias de seguridad de datos con regularidad : realice copias de seguridad periódicas de datos y archivos cruciales en un disco duro externo, servicio de almacenamiento en la nube u otra ubicación segura a la que no se pueda acceder directamente desde sus dispositivos principales. De esta manera, si su sistema se ve comprometido por ransomware, puede restaurar sus datos sin pagar el rescate.
• Utilice contraseñas únicas y seguras : fomente el uso de contraseñas complejas y autenticación multifactor (MFA) para acceder a dispositivos y cuentas en línea. Esto maximiza la seguridad contra el acceso no autorizado.
• Manténgase informado : manténgase actualizado con las últimas tendencias de ransomware y métodos de ataque. Comprender cómo funciona el ransomware puede ayudar a los usuarios a reconocer posibles amenazas y tomar las medidas adecuadas para proteger sus dispositivos y datos.

Adoptar estas medidas preventivas y mantener una postura de seguridad proactiva puede reducir el riesgo de ser víctima de ransomware y reducir el impacto de posibles ataques a sus datos y dispositivos.

La principal nota de rescate del ATCK Ransomware es:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: attackattack@tutamail.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:attackattack@cock.li
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

El mensaje entregado como archivo de texto es:

'all your data has been locked us

You want to return?

write email attackattack@tutamail.com or attackattack@cock.li'