FUERZA ransomware
Durante un examen de posibles amenazas de malware, los investigadores descubrieron FORCE Ransomware. Una vez que se infiltra en un dispositivo, FORCE inicia el cifrado en varios tipos de archivos, que incluyen imágenes, documentos, hojas de cálculo y más. El objetivo de los atacantes es mantener como rehenes los datos cifrados y obligar a las víctimas afectadas a pagar por su descifrado. Para identificar a las víctimas y establecer comunicación, el ransomware agrega identificadores únicos, las direcciones de correo electrónico de los ciberdelincuentes y una extensión '.FORCE' a los nombres de los archivos cifrados. Por ejemplo, un archivo inicialmente llamado '1.png' se transformaría en '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE.'
Al finalizar el proceso de cifrado, el sistema muestra notas de rescate idénticas en dos formatos: una ventana emergente ('info.hta') y un archivo de texto ('info.txt'). Estos mensajes aparecen en el escritorio y en todos los directorios que contienen archivos cifrados. Un análisis más detallado reveló que FORCE pertenece a la familia Phobos Ransomware .
Tabla de contenido
El ransomware FORCE extorsiona a las víctimas por dinero
Las notas de rescate emitidas por FORCE enfatizan que los archivos de la víctima han sido cifrados y que los datos confidenciales han sido comprometidos. Para supuestamente recuperar el acceso a sus archivos, la víctima debe pagar un rescate utilizando únicamente la criptomoneda Bitcoin. El incumplimiento de las exigencias enumeradas dará lugar a la venta de la información robada. Antes de realizar cualquier pago, la víctima tiene la opción de probar el proceso de descifrado de forma gratuita, aunque con ciertas limitaciones.
Los mensajes advierten contra la alteración de los archivos cifrados o el uso de herramientas de recuperación de terceros, ya que tales acciones pueden hacer que los datos sean irrecuperables. Además, se advierte a la víctima que buscar ayuda de terceros podría aumentar sus pérdidas financieras.
FORCE Ransomware toma medidas para evitar una fácil recuperación de datos bloqueados
Este programa amenazador, parte de la familia Phobos Ransomware, es conocido por su enfoque metódico al cifrado. A diferencia de algunas variantes de ransomware que dejan las máquinas infectadas completamente inoperables, el malware Phobos apunta selectivamente a los archivos para cifrarlos, evitando archivos críticos del sistema para garantizar que el sistema siga funcionando. Cifra tanto los archivos almacenados localmente como los compartidos a través de redes y finaliza los procesos asociados con archivos abiertos para evitar exenciones basadas en archivos que están "en uso", como programas de bases de datos o lectores de archivos de texto.
Para evitar el doble cifrado, Phobos Ransomware mantiene una lista de exclusión de programas de ransomware populares. Los archivos que ya están bloqueados por el software de esta lista no se ven afectados. Además, Phobos elimina las instantáneas de volumen, una opción de recuperación común, para frustrar aún más los intentos de restauración de datos.
Para garantizar la persistencia en los dispositivos atacados, el malware se copia en la ruta %LOCALAPPDATA% y se registra con claves de ejecución específicas, lo que garantiza que se inicie automáticamente con cada reinicio del sistema. Curiosamente, el ransomware Phobos podría abstenerse de atacar dispositivos en función de su ubicación geográfica, particularmente aquellos en regiones económicamente débiles o países geopolíticamente alineados.
Descifrar datos bloqueados por ransomware sin la intervención de ciberdelincuentes suele ser imposible. Incluso si las víctimas cumplen con las demandas de rescate, no hay garantía de que recibirán las claves o el software de descifrado prometidos. Por lo tanto, pagar el rescate no sólo no garantiza la recuperación de datos sino que también perpetúa actividades ilegales.
Si bien eliminar el ransomware del sistema operativo evita un mayor cifrado, no restaura los archivos comprometidos. La única solución confiable es recuperar archivos a partir de una copia de seguridad, si hay alguna disponible.
No se arriesgue con la seguridad de sus dispositivos y datos
Los usuarios pueden mejorar la defensa de sus datos y dispositivos contra las amenazas de ransomware implementando un enfoque de ciberseguridad de múltiples capas. Aquí hay algunas estrategias efectivas:
- Mantenga el software actualizado : actualice periódicamente los sistemas operativos, las aplicaciones de software y los programas antivirus para corregir las vulnerabilidades de seguridad y protegerse contra vulnerabilidades conocidas. Habilite las actualizaciones automáticas siempre que sea posible.
- Instale software de seguridad confiable : utilice software antimalware confiable para detectar y eliminar ransomware y otras amenazas dañinas. Asegúrese de que el software antivirus se actualice con frecuencia para reconocer las amenazas más recientes.
- Ejerza vigilancia con los archivos adjuntos y enlaces de correo electrónico : tenga cuidado con los correos electrónicos sospechosos, especialmente aquellos de remitentes desconocidos o que contengan archivos adjuntos o enlaces inesperados. Intente no acceder a enlaces ni descargar archivos adjuntos de correos electrónicos no solicitados, ya que pueden contener ransomware u otro malware.
- Realice copias de seguridad de datos con regularidad : configure una sólida estrategia de copia de seguridad realizando copias de seguridad periódicas de datos importantes en un disco duro externo, un servicio de almacenamiento en la nube o un dispositivo de almacenamiento conectado a la red (NAS). Asegúrese de que las copias de seguridad se almacenen de forma segura y no se pueda acceder directamente a ellas desde el sistema principal para evitar que el ransomware las cifre.
- Utilice contraseñas seguras y únicas : cree contraseñas seguras y complejas para todas las cuentas y no utilice la misma contraseña en varias cuentas. Considere la posibilidad de utilizar un administrador de contraseñas confiable para generar y almacenar contraseñas de forma segura.
- Habilite la autenticación de dos factores (2FA) : habilite la autenticación de dos factores para maximizar la seguridad de sus cuentas. 2FA requiere que los usuarios incluyan una segunda forma de verificación, como su contraseña o un código enviado a su dispositivo móvil.
Al adoptar estas medidas proactivas, los usuarios pueden reducir las oportunidades de ser víctimas de ataques de ransomware y proteger mejor sus datos y dispositivos de manera significativa.
La nota de rescate lanzada por FORCE Ransomware es:
'Your files are encrypted.
AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'
