Avanzi Ransomware

Durante el examen de software potencialmente amenazador, los investigadores de ciberseguridad identificaron una variante de ransomware denominada Avanzi. Una vez que se infiltra con éxito en una computadora, Avanzi ejecuta una serie de acciones dañinas, que incluyen cifrar archivos, modificar sus nombres, mostrar una nota de rescate a las víctimas y generar una nota adicional dentro del archivo 'info.txt'.

Tras la infección, Avanzi añade elementos específicos a los nombres de archivos, concretamente el ID de la víctima, la dirección de correo electrónico 'avanziahelp@cock.li' y la extensión '.avan'. Por ejemplo, transforma un archivo como '1.png' en '1.png.id-9ECFA74E.[avanziahelp@cock.li].avan' y '2.pdf' en '2.png.id-9ECFA74E.[ avanziahelp@cock.li].avan', etcétera. Un aspecto importante a tener en cuenta sobre Avanzi Ransomware es su asociación con la infame familia de amenazas de malware Dharma .

El ransomware Avanzi podría causar daños graves a los dispositivos comprometidos

La nota de rescate emitida por Avanzi Ransomware comienza con un anuncio que informa a las víctimas que todos sus archivos han sido cifrados, pero les asegura la posibilidad de recuperación. Se indica a las víctimas que establezcan contacto con los atacantes dentro de un plazo estricto de 12 horas a través de la dirección de correo electrónico especificada (avanziahelp@cock.li), con un correo electrónico alternativo (avanzirest@tuta.io) proporcionado en casos de respuesta retrasada.

Para mostrar una apariencia de buena voluntad, la nota promete descifrado gratuito de hasta tres archivos, describiendo condiciones específicas de elegibilidad. Además, las víctimas reciben orientación sobre cómo adquirir Bitcoins, el método preferido de pago de rescate. La nota advierte explícitamente contra ciertas acciones, como cambiar el nombre de archivos o intentos de descifrado por parte de terceros, para evitar la pérdida permanente de datos o la susceptibilidad a tácticas.

Cabe destacar la estrategia de Avanzi de comprometer el mecanismo de defensa principal del sistema objetivo desactivando el firewall. Además, elimina las instantáneas de volumen, cerrando así posibles vías de recuperación de datos. El ransomware aprovecha las vulnerabilidades de los servicios del Protocolo de escritorio remoto (RDP) para facilitar el acceso no autorizado.

Avanzi emplea fuerza bruta y ataques de diccionario para explotar credenciales de cuentas débiles, principalmente en sistemas que utilizan servicios RDP. La persistencia del malware en el sistema infectado genera importantes preocupaciones. Además de cifrar y comprometer el sistema, Avanzi recopila datos de ubicación y puede excluir selectivamente ubicaciones predefinidas, extendiendo así su impacto y duración.

¿Cómo proteger sus dispositivos de amenazas de ransomware?

Proteger los dispositivos de las amenazas de ransomware implica adoptar un enfoque de varias capas para mejorar la ciberseguridad general. A continuación se presentan algunas prácticas y recomendaciones clave:

• Mantenga el software actualizado : actualice periódicamente los sistemas operativos, el software de seguridad y las aplicaciones. Las actualizaciones de software suelen incluir parches de seguridad que abordan las vulnerabilidades explotadas por el ransomware.
• Instale software antimalware confiable : utilice software de seguridad confiable para brindar protección en tiempo real contra diversas amenazas, incluido el ransomware. Asegúrese de que el software esté configurado para actualizarse y realizar análisis periódicos automáticamente.
• Copia de seguridad de datos importantes : realice copias de seguridad periódicas de los datos críticos en un disco duro externo o en un servicio seguro en la nube. Esto garantiza que incluso si su dispositivo está comprometido, podrá restaurar sus archivos sin sucumbir a las demandas de rescate.
• Utilice contraseñas seguras y únicas : implemente contraseñas seguras y únicas para todas las cuentas y dispositivos. Evite el uso de contraseñas fáciles de adivinar y considere usar un administrador de contraseñas para realizar un seguimiento de credenciales complejas.
• Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico : tenga cuidado con los correos electrónicos inesperados, especialmente aquellos que contienen archivos adjuntos o enlaces. Evite abrir archivos adjuntos o hacer clic en enlaces de fuentes desconocidas o sospechosas, ya que pueden contener ransomware u otro malware.
• Edúquese a usted mismo y a los usuarios : manténgase informado sobre las últimas amenazas a la ciberseguridad e infórmese a sí mismo y a otros usuarios sobre los riesgos de hacer clic en enlaces desconocidos, descargar archivos sospechosos o visitar sitios web no confiables.

Al adoptar estas prácticas, los usuarios pueden reducir significativamente el riesgo de ser víctimas de ransomware y mejorar la seguridad general de sus dispositivos.

El texto completo de la nota de rescate generada por Avanzi Ransomware en dispositivos pirateados es:

'Avanzi

All your files have been encrypted!

Don’t worry, you can return all your files!
If you want to restore them, write to the mail: avanziahelp@cock.li YOUR ID:
If you have not answered by mail within 12 hours, write to us by another mail: avanzirest@tuta.io

Free decryption as guarantee
Before paying you can send us up to 3 file for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, ya que puede provocar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede provocar un aumento del precio (ellos añaden su tarifa a la nuestra) o puede convertirse en víctima de una estafa.

El archivo de texto arrojado por Avanzi Ransomware contiene el siguiente mensaje:

todos tus datos nos han bloqueado

¿Quieres volver?

escriba el correo electrónico avanziahelp@cock.li o avanzirest@tuta.io'