Baxter ransomware
Como la mayoría de ransomware, el objetivo de los ciberdelincuentes detrás de Baxter Ransomware es infectar las computadoras de los usuarios y luego dejar que su creación de ransomware cifre los datos almacenados allí. Los usuarios no podrán acceder a ninguno de sus archivos: documentos, PDF, archivos, bases de datos, imágenes, fotos, etc. Baxter Ransomware es una nueva amenaza de la familia VoidCrypt Ransomware.
Todos los archivos cifrados tendrán sus nombres modificados drásticamente. Baxter Ransomware sigue un patrón de nomenclatura complejo: agrega una dirección de correo electrónico (karusjok@gmail.com), seguida de una cadena aleatoria y, finalmente, '.baxter' como una nueva extensión de archivo. Al completar el cifrado del archivo, la amenaza entregará su nota de rescate. Las instrucciones de los piratas informáticos se colocarán dentro de archivos de texto llamados 'Decrypt-info.txt'.
Según la nota, el paso más importante que deben realizar las víctimas de Baxter Ransomware es encontrar un archivo llamado 'prvkey * .txt.key' (el asterisco puede ser un número en el archivo específico). Se supone que la ubicación de ese archivo es C: \ ProgramData \. La manipulación de este archivo de cualquier manera podría hacer que los archivos cifrados no se puedan recuperar. Después de localizar el archivo, se les pide a los usuarios que lo envíen a través de la dirección de correo electrónico proporcionada, 'karusjok@gmail.com' o cuenta de telegram, '@karuus'. Las víctimas de Baxter Ransomware también pueden enviar un único archivo bloqueado que, supuestamente, será descifrado de forma gratuita.
El texto completo de la nota de rescate lanzada por la amenaza es:
' Todos sus archivos se han cifrado
Tienes que pagar para recuperar tus archivos
1-Vaya a C: \ ProgramData \ o en sus otras unidades y envíenos el archivo prvkey * .txt.key, * podría ser un número (como este: prvkey3.txt.key)
2-Puede enviar un archivo de menos de 1 MB para la prueba de descifrado para confiar en nosotros, pero el archivo de prueba no debe contener datos valiosos
3-El pago debe ser con Bitcoin
4-Cambiar Windows sin guardar el archivo prvkey.txt.key causará pérdida de datos permanenteNuestro correo electrónico: karusjok@gmail.com
en caso de no respuesta: ID de telegrama: @karuus '
