Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware DeadLock

Ransomware DeadLock

Por Mezo en Ransomware
Traducir a:

Las campañas modernas de ransomware están diseñadas específicamente para aprovechar sus datos personales u organizacionales. Una vez cifrados los archivos críticos, los atacantes tienen todas las de ganar, a menos que se haya preparado con antelación. Una sólida higiene de seguridad, defensas por capas y estrategias de copias de seguridad resistentes reducen drásticamente las probabilidades de que un solo archivo adjunto malicioso, un instalador pirateado o una descarga no autorizada provoque la interrupción del negocio o la pérdida permanente de datos. El ransomware DeadLock es un buen ejemplo de la importancia de estos fundamentos.

Lo que diferencia a DeadLock

DeadLock es una familia de ransomware que cifra archivos y etiqueta a cada víctima con un identificador único. Durante un ataque, codifica los datos del usuario y renombra cada archivo cifrado añadiendo el ID de la víctima y la extensión ".dlock" al nombre original. Por ejemplo: "1.png" se convierte en "1.png.F8C6A8.dlock" y "2.pdf" en "2.pdf.F8C6A8.dlock". Este ID se utiliza durante todo el proceso de extorsión para rastrear a la víctima y vincular los pagos a las claves de descifrado. DeadLock también publica una nota de rescate cuyo nombre de archivo incluye el mismo identificador (p. ej., "READ ME.F8C6A8.txt") y cambia el fondo de pantalla para confirmar que el sistema ha sido comprometido.

Dentro de la nota de rescate

La nota destaca varios puntos clave diseñados para guiar a la víctima en sus próximos pasos. Afirma que los archivos cifrados no pueden restaurarse sin una clave de descifrado única, propiedad exclusiva de los atacantes. Se les indica a las víctimas que instalen Session Messenger, un servicio de mensajería centrado en la privacidad, y que se pongan en contacto con el ID de sesión proporcionado (que, de nuevo, corresponde al identificador de cada víctima incluido en los nombres de archivo). Los atacantes piden a la víctima que envíe un archivo cifrado junto con su clave personal (su ID único) para su verificación. Esta es una táctica común para generar confianza descifrando una muestra inofensiva.

Tácticas de pago y presión

Los operadores de DeadLock exigen criptomonedas, concretamente Bitcoin o Monero. Prometen que, tras el pago, entregarán un descifrador funcional. Como ocurre con la mayoría de las operaciones de ransomware, no existe una garantía válida. La nota también utiliza el miedo para desalentar los intentos de recuperación independientes: advierte a las víctimas que no cambien el nombre de los archivos cifrados ni prueben herramientas de descifrado de terceros, alegando que dichas acciones podrían corromper los datos de forma permanente o encarecer el coste de la recuperación. Estas advertencias son en parte técnicas (un manejo inadecuado puede, de hecho, complicar la recuperación) y en parte psicológicas.

Comprobación de la realidad del descifrado

La experiencia con ransomware en general, y los propios mensajes de los operadores, confirman una dura realidad: en la mayoría de los casos, no se pueden descifrar archivos codificados por DeadLock sin la cooperación y las herramientas de los atacantes. Esto deja dos opciones de recuperación realistas: (1) copias de seguridad funcionales que estaban fuera de línea, fuera del sitio, versionadas o, por cualquier otro motivo, no eran accesibles para el malware en el momento del ataque; o (2) pagar el rescate y esperar que los delincuentes cumplan el trato. Pagar es arriesgado: los atacantes pueden desaparecer, entregar un descifrador defectuoso o usar el pago como señal de que eres un blanco fácil para futuras extorsiones. Siempre que sea posible, confía en copias de seguridad intactas en lugar de pagar un rescate.

Por qué es importante la eliminación total

Incluso después de completar el cifrado, dejar el ransomware en el sistema es peligroso. Los componentes residuales pueden volver a cifrar archivos recién creados, recopilar credenciales, abrir puertas traseras o intentar infiltrarse en la red local. La erradicación, respaldada por el análisis de endpoints, la inspección de memoria y la revisión de tareas programadas, entradas de inicio y controladores de dominio, es fundamental para evitar que se repitan los daños.

Vectores comunes de infección de bloqueo

Los atacantes necesitan un punto de apoyo inicial. Las campañas de ransomware se han asociado con múltiples canales de distribución que se aprovechan de la confianza, la curiosidad y los atajos para reducir costos de los usuarios:

  • Software comercial pirateado o “crackeado”, incluidos generadores de claves incluidos y herramientas de elusión de licencias que instalan malware en secreto.
  • Cracks de software, keygens y activadores no oficiales extraídos de sitios warez o torrent.
  • Archivos adjuntos de correo electrónico maliciosos: documentos de Word con trampas (a menudo habilitados para macros), archivos PDF, archivos ZIP, archivos de script o cargas ejecutables disfrazadas de facturas, avisos de envío o formularios urgentes de RR.HH.
  • Malvertising (anuncios maliciosos) que redirigen a los usuarios a kits de explotación o páginas de descarga fraudulentas.
  • Plataformas de intercambio punto a punto y centros de descarga de terceros que reempaquetan instaladores con cargas útiles ocultas.
  • Medios extraíbles (por ejemplo, unidades USB infectadas) que se ejecutan automáticamente o tientan a los usuarios a ejecutar archivos contaminados.
  • Portales de soporte técnico falsos que presionan a los usuarios para que descarguen "correcciones" o "actualizaciones" que en realidad contienen el cargador de ransomware.
  • Sitios web legítimos comprometidos a los que se les han inyectado descargas automáticas o scripts que entregan la carga útil.

Mejores prácticas de seguridad para fortalecer su defensa

La seguridad por capas reduce drásticamente el alcance de un ataque de ransomware. A continuación, se presentan las medidas defensivas priorizadas que ayudan a prevenir el éxito de DeadLock y amenazas similares:

  • Mantenga copias de seguridad confiables y fuera de línea de datos críticos.
  • Aplique parches a los sistemas operativos, aplicaciones y firmware de inmediato, especialmente a los servicios y suites de productividad expuestos y propensos al abuso de macros o exploits.
  • Utilice protección de endpoints/EDR confiable con detección de ransomware basada en el comportamiento y aislamiento automático.
  • Imponer cuentas de usuario con privilegios mínimos; deshabilitar el administrador local donde no sea necesario; separar las credenciales de administrador del uso diario.
  • Restrinja la ejecución de macros, intérpretes de scripts y binarios sin firmar a través de políticas de grupo, listas blancas de aplicaciones y acceso controlado a carpetas.
  • Implemente filtrado de seguridad de correo electrónico: bloquee archivos adjuntos, inspeccione enlaces y marque tipos de archivos sospechosos o dominios de remitentes falsificados.
  • Deshabilite la ejecución automática en medios extraíbles y escanee los dispositivos USB antes de montarlos.
  • Requerir autenticación multifactor (MFA) para acceso remoto, consolas de administración e interfaces de gestión de copias de seguridad.

Lecciones a largo plazo

DeadLock refuerza un tema recurrente en las familias de ransomware: los atacantes no necesitan exploits de vanguardia si los usuarios descargan herramientas pirateadas, abren archivos adjuntos no verificados o navegan por redes publicitarias no confiables con frecuencia. Las técnicas básicas de seguridad, la disciplina en la aplicación de parches, los controles de acceso, las copias de seguridad supervisadas y la concienciación del usuario convierten una posible crisis en un evento recuperable. Invierta en estas defensas ahora; el costo es mucho menor que el de un rescate pagado bajo presión.

Reflexiones finales

La resiliencia al ransomware se construye mucho antes de que un ataque llegue a su pantalla. Al comprender cómo funciona DeadLock e implementar controles preventivos y de recuperación por capas, se prepara para resistir esta amenaza y otras similares. Desconfíe de cualquier cosa que no haya buscado o verificado deliberadamente. Su vigilancia es la primera, y a menudo la mejor, línea de defensa.

Mensajes

Se encontraron los siguientes mensajes asociados con Ransomware DeadLock:

# All your important files are encrypted!

# Your important files have been encrypted by DeadLock using military-grade encryption.
This includes all documents, photos, videos, databases, and other critical data.
You cannot access them without our decryption key.

# There is only one way to get your files back:
1. Download Session to contact us https://getsession.org/
2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78)
3. Send us 1 any encrypted your file and your personal key
4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files
5. Pay
6. We send for you decryptor software

# We accept Bitcoin/Monero
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our)
Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78

# Your personal id: READ ME.F8C6A8.txt

Tendencias

Mas Visto

Cargando...