Cip Ransomware

Los investigadores de Infosec han identificado otra amenaza de ransomware destructiva que forma parte de la familia de ransomware Dharma. Llamada Cip Ransowmare, la amenaza sigue de cerca el comportamiento típico de Dharma sin exhibir desviaciones significativas. Sin embargo, no se debe subestimar el daño que puede causar a los sistemas informáticos infectados.

Cip utiliza un algoritmo de encriptación fuerte para bloquear casi todos los archivos de sus víctimas. Se evitará que los usuarios afectados accedan o usen de alguna manera sus documentos, PODF, archivos, bases de datos, imágenes, fotos, archivos de audio y video, etc. Durante el proceso de encriptación, Cip Ransomware también modificará los nombres de los archivos objetivo. La amenaza se adhiere al patrón habitual de nombres de Dharma agregando primero una cadena de caracteres que actúa como la identificación de la víctima. A continuación, Cip agrega una dirección de correo electrónico controlada por sus operadores. Finalmente, se agregará '.cip' como una nueva extensión de archivo.

Las víctimas se quedarán con dos notas de rescate que contienen instrucciones de los atacantes. Uno se colocará en el escritorio del sistema comprometido como un archivo de texto llamado 'info.txt'. La otra nota se mostrará en una nueva ventana emergente.

Demandas de Cip Ransomware

El objetivo de la amenaza es extorsionar a cambio de la restauración de los datos de la víctima. Sin embargo, sus dos notas de rescate carecen de muchos de los detalles cruciales observados en otras amenazas de ransomware. Los mensajes no mencionan el monto del rescate exigido, si los fondos deben transferirse utilizando una criptomoneda específica o si los atacantes están dispuestos a demostrar su capacidad para descifrar los datos desbloqueando un par de archivos de forma gratuita.

En cambio, la nota en el archivo de texto enumera los dos correos electrónicos que las víctimas pueden usar para comunicarse: 'ciphercrypt@tuta.io' y 'cipherc@onionmail.org'. Las instrucciones en la ventana emergente no son muy útiles. Simplemente contienen una sección con varias advertencias, como no cambiar el nombre de los archivos cifrados o ejecutar descifradores de terceros, ya que eso podría dañar los datos y hacer que los archivos no se puedan recuperar.

El mensaje emergente es:

SUS ARCHIVOS ESTÁN CIFRADOS
1024
¡No te preocupes, puedes devolver todos tus archivos!
Si desea restaurarlos, escriba al correo: ciphercrypt@tuta.io SU ID -
Si no ha respondido por correo dentro de las 12 horas, escríbanos por otro correo: cipherc@onionmail.org
¡ATENCIÓN!
Le recomendamos que se ponga en contacto con nosotros directamente para evitar pagar de más a los agentes.
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos con software de terceros, puede causar la pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede aumentar el precio (agregan su tarifa a la nuestra) o puede convertirse en víctima de una estafa.

La nota que se encuentra dentro del archivo de texto es:

todos sus datos nos han sido bloqueados
¿Quieres volver?
escribir correo electrónico ciphercrypt@tuta.io o cipherc@onionmail.org