Keylock Ransomware

Keylock ha sido identificado como una amenaza de ransomware. El ransomware es un tipo de software amenazante que funciona cifrando los archivos de la víctima, haciéndolos inalcanzables y luego exigiendo el pago de un rescate a cambio de la clave de descifrado. En el caso de Keylock, este software dañino cifra los archivos ubicados en los dispositivos comprometidos y agrega una extensión distinta '.keylock' a los nombres de estos archivos. Por ejemplo, si un archivo originalmente se llamaba '1.jpg', se transformará en '1.jpg.keylock' después del proceso de cifrado, y esta convención de nomenclatura se aplica a todos los archivos afectados.

Además, una vez finalizado el proceso de cifrado, Keylock genera una nota de rescate en el dispositivo comprometido, que normalmente se titula "README-id-[nombre de usuario].txt". Esta nota de rescate sirve como canal de comunicación entre los atacantes y la víctima, proporcionando instrucciones sobre cómo realizar el pago del rescate y potencialmente recibir la clave de descifrado.

Además, vale la pena señalar que Keylock no sólo cifra archivos y crea una nota de rescate, sino que también altera el fondo de pantalla del escritorio de la víctima. Este cambio a menudo se realiza para reforzar la presencia del ransomware y la urgencia de la situación, presionando aún más a la víctima para que cumpla con las demandas de los atacantes.

El Keylock Ransomware busca extorsionar a sus víctimas

El fondo de pantalla del escritorio de Keylock Ransomware sirve para dirigirlos hacia el archivo de texto que contiene la nota de rescate principal. La nota de rescate dentro de este archivo transmite explícitamente que los archivos de la víctima se han vuelto inaccesibles mediante cifrado. Más desconcertante es la implicación de que los atacantes han extraído los datos de la víctima, lo que genera preocupaciones sobre una posible exposición o uso indebido de los datos.

Para recuperar el acceso a sus datos cifrados, se informa a la víctima que debe obtener la clave de descifrado única, que está en manos exclusivas de los atacantes. El método para adquirir esta importante herramienta de descifrado implica pagar un rescate, aunque no se revela el monto específico. Los atacantes afirman que sólo aceptarán pagos realizados con la criptomoneda Bitcoin.

A las víctimas se les concede un plazo limitado de 72 horas para establecer contacto con los ciberdelincuentes. Si no se cumple este plazo crucial, los perpetradores amenazan con tomar medidas más drásticas, que pueden incluir la filtración o venta de los datos recopilados de la víctima. Los ciberdelincuentes ofrecen descifrar hasta tres archivos bloqueados de forma gratuita, siempre que no superen los 2 MB de tamaño y no contengan información de gran valor.

Además, la nota de rescate emite severas advertencias contra cualquier intento de cambiar el nombre, modificar o eliminar los archivos cifrados, intentos de descifrado manual o el uso de software de recuperación o herramientas antivirus de terceros. Se desaconsejan estas acciones porque pueden provocar una pérdida irreversible de datos, lo que agrava las ya nefastas consecuencias del ataque de ransomware.

Medidas de seguridad esenciales para implementar en sus dispositivos

Implementar sólidas medidas de seguridad en sus dispositivos es crucial para protegerlos contra amenazas de malware. Aquí hay cinco medidas de seguridad esenciales a considerar:

• • Utilice software antimalware : instale software antimalware confiable en sus dispositivos. Estos programas pueden detectar y eliminar varios tipos de malware, incluidos virus, spyware y ransomware. Mantenga actualizado el software antivirus para asegurarse de que pueda identificar las amenazas más recientes.

• • Actualizaciones de software estructuradas : mantenga actualizado su sistema operativo y todo el software instalado. El malware a menudo aprovecha las vulnerabilidades del software obsoleto. Los fabricantes lanzan parches de seguridad y actualizaciones para corregir estas vulnerabilidades, por lo que es esencial aplicar estas actualizaciones con regularidad.

• • Protección de firewall : habilite un firewall en su dispositivo. Los firewalls actúan como una barrera entre su dispositivo y posibles amenazas de Internet. Pueden bloquear el acceso no autorizado y el tráfico malicioso entrante. Muchos sistemas operativos vienen con firewalls integrados que se pueden habilitar.

• • Concientización del usuario y prácticas de navegación segura : infórmese a usted mismo y a sus usuarios (si corresponde) sobre las prácticas seguras en línea. Evite acceder a archivos o hacer clic en enlaces de fuentes no confiables. Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico y nunca comparta información personal con sitios web desconocidos o sospechosos.

• • Copia de seguridad y recuperación de datos : realice periódicamente una copia de seguridad de sus datos en un almacenamiento externo o en la nube. Si sufre un ataque de malware, puede recuperar sus archivos sin pagar un rescate ni perder información crítica. Asegúrese de que las copias de seguridad se realicen automáticamente y se almacenen de forma segura.

Además de estas cinco medidas de seguridad esenciales, es fundamental tener cuidado al descargar e instalar software, especialmente de fuentes no verificadas. Tenga cuidado con los intentos de phishing y los correos electrónicos no solicitados, y no abra archivos adjuntos ni haga clic en enlaces si no está seguro de su legitimidad. Además, considere utilizar una red privada virtual (VPN) cuando acceda a redes Wi-Fi públicas para proteger sus datos de posibles escuchas ilegales.

El texto completo de la nota de rescate creada por Keylock Ransomware es:

'YOUR FILES ARE ENCRYPTED

¡Sus archivos han sido cifrados con potentes algoritmos de cifrado y modificados y ahora tienen la extensión '.keylock'!
La estructura del archivo no resultó dañada. No se preocupe, su clave de cifrado única se almacena de forma segura en nuestro servidor y sus datos se pueden descifrar de forma rápida y segura.
Le garantizamos que puede recuperar todos sus datos fácilmente.

Le damos instrucciones completas. Y ayudarle hasta que el proceso de descifrado finalice por completo.

Podemos demostrar que podemos descifrar todos sus datos. Por favor, envíenos 3 archivos cifrados pequeños (~2 MB) no importantes, que se almacenan aleatoriamente en su servidor. Adjunte también el archivo README-id.txt que dejamos en cada carpeta.

Descifraremos estos archivos y se los enviaremos como prueba. Tenga en cuenta que los archivos para el descifrado de prueba gratuito no deben contener información valiosa.

Si no inicia un diálogo con nosotros en 72 horas, nos veremos obligados a publicar sus archivos en el dominio público. Sus clientes y socios serán informados sobre la filtración de datos.
De esta manera, tu reputación quedará arruinada. Si no reacciona, nos veremos obligados a vender la información más importante, como bases de datos y datos personales, a las partes interesadas para generar algún beneficio.
Es sólo un negocio.
No nos preocupamos en absoluto por usted y sus ofertas, excepto por obtener beneficios.

Si no hacemos nuestro trabajo y nuestras responsabilidades, nadie cooperará con nosotros. No es de nuestro interés.

Si desea descifrar sus archivos, deberá pagar en Bitcoins.
Si desea resolver esta situación, adjunte en carta este archivo README-id.txt y escriba a TODAS estas 2 direcciones de correo electrónico:

llavero@onionmail.org

keybranch@mailfence.com

También puedes enviarnos un mensaje por Telegram: hxxps://t.me/key_chain

¡IMPORTANTE!

Le recomendamos que se comunique con nosotros directamente para evitar pagar de más a los agentes. Sus datos están cifrados y solo NOSOTROS tenemos la clave de descifrado. Para descifrar sus datos necesita sólo 1 hora, después del pago, no más.

Le solicitamos que envíe su mensaje a TODAS nuestras 2 direcciones de correo electrónico y a Telegram, porque por diversos motivos es posible que su correo electrónico no se entregue.

Nuestro mensaje puede ser reconocido como spam, así que asegúrese de revisar la carpeta de spam.

Si no le respondemos dentro de las 24 horas, escríbanos desde otra dirección de correo electrónico.

Por favor, no pierda el tiempo, solo resultará en daños adicionales para su empresa.

No cambie el nombre ni intente descifrar los archivos usted mismo. No podremos ayudarle si se modifican los archivos.

Si intenta utilizar algún software de terceros para restaurar sus datos o soluciones antivirus, haga una copia de seguridad de todos los archivos cifrados.

Si elimina algún archivo cifrado de la computadora actual, es posible que no pueda descifrarlo.'

El mensaje que se muestra como imagen de fondo del escritorio es:

Find README-id.txt and follow the instruction.'