Pysa Ransomware

Pysa Ransomware Descripción

El Pysa Ransomware es una de las amenazas de ransomware más nuevas detectadas. Una vez que los investigadores de ciberseguridad que detectaron el Pysa Ransomware, lo analizaron más a fondo, descubrieron que esta amenaza pertenece a la familia Mespinoza Ransomware . La mayoría de las amenazas de ransomware operan de una manera bastante idéntica: se infiltrarían en un sistema específico, cifrarían los datos presentes en él y luego pedirían a la víctima que pague una tarifa de rescate para obtener una clave de descifrado, que se supone que desbloquea los archivos afectados . La mayoría de las veces, los autores de ransomware exigirían una suma considerable, raramente menos de varios cientos de dólares.

Propagación y Cifrado

Muchos creadores de amenazas de ransomware optan por utilizar campañas masivas de correo electrónico no deseado para propagar sus troyanos de cifrado de archivos. Normalmente, esto se hace con un correo electrónico que contiene un mensaje falso diseñado para convencer al objetivo de que inicie un archivo adjunto aparentemente inofensivo. Desafortunadamente, el archivo adjunto generalmente es macro-atado y comprometería su sistema al ejecutarlo. Hay varios otros vectores de infección que son herramientas bastante populares para distribuir amenazas de esta clase: descargas y actualizaciones fraudulentas de software, copias piratas falsas de aplicaciones o medios populares, rastreadores de torrents, etc. El ransomware Pysa se asegurará de encriptar una gran variedad de tipos de archivos populares, que probablemente se encuentren en la PC de cualquier usuario habitual: .mp3, .mp4. .mov, .png, .jpeg, .jpg, .doc, .docx, .ppt, .rar, .xls, .xlsx, etc. Una vez que Pysa Ransomware aplica su algoritmo de cifrado y bloquea los datos seleccionados, todos los archivos afectados será inutilizable La extensión, que Pysa Ransomware agrega a los archivos recién bloqueados, es '.pysa'. Por ejemplo, un archivo de audio que se llamaba 'shining-lights.mp3' antes del ataque, cambiaría su nombre a 'shining-lights.mp3.pysa' una vez que este troyano de bloqueo de datos lo encripte.

La nota de rescate

Una vez finalizado el proceso de cifrado, Pysa Ransomware soltará su mensaje de rescate en un archivo llamado 'Readme.README.txt'. La nota dice:

'Hola compañía,

Cada byte en cualquier tipo de sus dispositivos fue encriptado.
No intente utilizar copias de seguridad porque también se cifraron.
Para recuperar todos sus datos, contáctenos:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
PREGUNTAS MÁS FRECUENTES:
1)
P: ¿Cómo puedo asegurarme de que no me engañes?
R: Puede enviarnos 2 archivos (máximo 2 mb).
2)
P: ¿Qué hacer para recuperar todos los datos?
R: No reinicie la computadora, no mueva archivos y escríbanos.
3)
P: ¿Qué decirle a mi jefe?
A: Proteja su sistema Amigo.

En el mensaje de rescate, los atacantes dejan en claro que los datos del usuario han sido comprometidos y que deberán pagar una tarifa de rescate si desean recuperar sus datos. Los autores del Pysa Ransomware afirman que desbloquearían dos archivos de forma gratuita, siempre que no tengan un tamaño superior a 2 MB. Esto está destinado a servir como prueba de que los atacantes poseen una herramienta de descifrado que es capaz de revertir el daño causado a los datos de la víctima. Las víctimas deben ponerse en contacto con los atacantes por correo electrónico, y se proporcionan dos direcciones de correo electrónico: 'aireyeric@protonmail.com' y 'ellershaw.kiley@protonmail.com'.
Es una buena medida mantenerse alejado de los ciberdelincuentes sombríos como los creadores del Pysa Ransomware. A menudo, incluso los usuarios que ceden y pagan la tarifa de rescate exigida se quedan con las manos vacías cuando los atacantes nunca les envían la clave de descifrado prometida. Esta es la razón por la que debe descargar e instalar una suite legítima anti-spyware que borrará el Pysa Ransomware de su sistema y asegurará que no se encuentre en esta situación difícil en el futuro.