Ior Ransomware

A medida que los ataques de ransomware se vuelven más sofisticados y destructivos, proteger sus dispositivos de amenazas dañinas nunca ha sido más crucial. Estos ataques pueden cifrar sus datos, interrumpir las operaciones comerciales y extorsionar a las víctimas, a menudo sin garantía de recuperación de datos. El reciente descubrimiento del ransomware Ior destaca la amenaza persistente que representan las familias de ransomware modernas. Comprender cómo funciona el ransomware Ior y realizar acciones de seguridad sólidas puede reducir significativamente el riesgo de ser víctima de este tipo de ataques.

El ransomware Ior: una nueva amenaza en la familia Dharma

El ransomware Ior pertenece a la notoria familia de ransomware Dharma , que tiene fama de atacar tanto a empresas como a particulares. Una vez que Ior infecta un sistema, cifra rápidamente los archivos y les cambia el nombre utilizando el formato nombre_archivo.id-[CADENA DE ID].[correo electrónico del atacante].ior. Por ejemplo, "documento.pdf" se renombraría como "documento.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior", bloqueando el archivo y haciéndolo inaccesible para el usuario.

El ransomware Ior deja dos tipos de notas de rescate:

• Una ventana emergente que informa inmediatamente a la víctima del ataque.
• Un archivo llamado 'manual.txt', que proporciona instrucciones detalladas sobre cómo restaurar los datos cifrados.

Estas notas de rescate indican a la víctima que se ponga en contacto con los atacantes a través de las direcciones de correo electrónico proporcionadas (jasalivan@420blaze.it o ja.salivan@keemail.me) en un plazo de 12 horas. La nota también ofrece descifrar hasta tres archivos (de menos de 3 MB) como prueba de que es posible hacerlo. Sin embargo, los atacantes advierten contra intentar cambiar el nombre de los archivos cifrados o utilizar herramientas de descifrado de terceros, ya que amenazan con la pérdida permanente de datos o con mayores costes de descifrado si se toman estas medidas.

Los métodos de ataque: cómo el ransomware Ior infecta los sistemas

El ransomware Ior es muy peligroso no solo por sus capacidades de cifrado de archivos, sino también por su enfoque agresivo para deshabilitar las funciones de seguridad y garantizar la persistencia. El malware:

• Cifra archivos locales y compartidos en red, lo que afecta no sólo a la computadora infectada sino también a todos los dispositivos o sistemas de almacenamiento conectados.
• Desactiva el firewall del sistema, lo que hace que el dispositivo sea más vulnerable a futuros ataques.
• Elimina las copias de volumen de sombra, lo que impide que los usuarios recuperen archivos mediante puntos de restauración integrados de Windows.
• Se copia a sí mismo en el directorio %LOCALAPPDATA% y se registra con las teclas Ejecutar de Windows, lo que le permite reiniciarse automáticamente cuando se reinicia el sistema.

Además, el ransomware Ior es capaz de recopilar datos de ubicación y excluir ciertos directorios del cifrado, lo que sugiere un nivel de personalización basado en la estrategia del atacante.

Vectores de infección: cómo se distribuye el ransomware Ior

Al igual que muchas cepas de ransomware de la familia Dharma, el ransomware Ior suele distribuirse a través de servicios vulnerables del Protocolo de escritorio remoto (RDP). Los cibercriminales explotan configuraciones de RDP débiles, utilizando ataques de fuerza bruta o de diccionario para descifrar credenciales mal administradas. Sin embargo, esta no es la única forma en que Ior infecta los sistemas:

• Archivos adjuntos o enlaces de correo electrónico dañados : los correos electrónicos de phishing con archivos adjuntos dañinos o enlaces incrustados son un método de entrega común de ransomware.
• Vulnerabilidades de software explotadas : los sistemas sin parches son los principales objetivos del ransomware, ya que los atacantes pueden explotar vulnerabilidades conocidas en software o sistemas operativos obsoletos.
• Software pirateado : el software descargado ilegalmente a menudo oculta malware, incluido ransomware, que los usuarios ejecutan sin saberlo.
• Sitios web comprometidos : los usuarios pueden ser engañados para descargar malware a través de anuncios engañosos, descargas falsas o sitios web comprometidos.
• Redes peer-to-peer (P2P) y descargadores de terceros : los archivos no seguros pueden propagarse fácilmente a través de plataformas de torrents o administradores de descargas de terceros que carecen de controles de seguridad.

Mejores prácticas de seguridad para defenderse del ransomware

Para protegerse del ransomware Ior y otras amenazas cibernéticas, es fundamental seguir las mejores prácticas de seguridad. Si es proactivo y toma las precauciones adecuadas, puede reducir significativamente el riesgo de ser víctima de estos ataques. Estos son los pasos clave para reforzar su defensa contra el ransomware:

1. Realice copias de seguridad de sus datos con regularidad: las copias de seguridad frecuentes son su defensa más sólida contra el ransomware. Asegúrese de realizar copias de seguridad de todos los archivos fundamentales en un dispositivo de almacenamiento independiente o en un servicio en la nube que esté desconectado de su sistema principal. De esta manera, si sus datos están cifrados, puede restaurarlos sin tener que pagar el rescate.
2. Acceso remoto seguro: si utiliza RDP u otros servicios de acceso remoto, asegúrese de que estén configurados de forma segura:

Deshabilite RDP si no está en uso.

Utilice contraseñas seguras y únicas para las cuentas con acceso remoto.

Habilite la autenticación multifactor (MFA) para mayor seguridad.

Restrinja el acceso RDP a direcciones IP específicas a través de un firewall o VPN.

1. Mantenga actualizados los sistemas y el software: el software obsoleto es un objetivo frecuente de los ataques de ransomware. Asegúrese de que su sistema operativo, aplicaciones y software antimalware estén actualizados con los últimos parches de seguridad. Automatice las actualizaciones siempre que sea posible para minimizar la ventana de vulnerabilidad.
2. Implemente soluciones anti-ransomware: invierta en software anti-malware de confianza que incluya protección contra ransomware. Muchas suites de seguridad modernas pueden detectar comportamientos sospechosos, como el cifrado de archivos o cambios no autorizados en la configuración del sistema, y detener el ransomware antes de que cause daños.
3. Tenga cuidado con los correos electrónicos: los correos electrónicos de phishing siguen siendo una de las formas más eficaces que tienen los atacantes de enviar ransomware. Evite hacer clic en archivos adjuntos o enlaces no solicitados. Verifique la legitimidad de los correos electrónicos inesperados, incluso si parecen provenir de fuentes confiables.
4. Utilice contraseñas seguras y únicas: las contraseñas débiles son una vulnerabilidad importante en los ataques de ransomware, en particular aquellos que implican tácticas de fuerza bruta en RDP. Utilice contraseñas seguras y complejas y cámbielas con regularidad. Considere la posibilidad de utilizar un administrador de contraseñas para almacenar y generar contraseñas únicas para diferentes cuentas.
5. Deshabilitar macros y limitar la ejecución de scripts: muchas infecciones de ransomware comienzan a través de macros maliciosas en documentos o mediante la explotación de motores de scripts como PowerShell. Deshabilitar macros de forma predeterminada y restringir la ejecución de scripts para minimizar el riesgo de infección.
6. Utilice un firewall y segmentación de red: un firewall puede impedir el acceso no autorizado a su sistema, y la segmentación de red puede reducir la propagación de ransomware dentro de una organización. Al aislar los sistemas críticos y limitar el acceso a la red, puede contener el daño de un ataque.

Conclusión: Manténgase informado y preparado

El ransomware Ior, al igual que otros miembros de la familia Dharma, representa una amenaza grave tanto para las personas como para las organizaciones. Su capacidad para cifrar datos, desactivar funciones de seguridad y propagarse a través de redes comprometidas lo convierte en un adversario formidable. Sin embargo, si adopta las prácticas recomendadas descritas anteriormente (copias de seguridad periódicas, actualizaciones de software, controles de acceso remoto sólidos y contraseñas seguras), puede fortalecer sus defensas y minimizar el impacto de un ataque de ransomware. La clave para mantenerse a salvo es la vigilancia proactiva y el compromiso con las mejores prácticas de ciberseguridad.

La nota de rescate que muestra el ransomware Ior como una ventana emergente:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

Mensaje de los atacantes entregado como archivo de texto:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'