Ransomware
El Po Ransomware es una variante de la infame familia de malware Dharma. Los ciberdelincuentes pueden utilizar la amenaza para bloquear los datos de sus víctimas. Las amenazas de ransomware están diseñadas específicamente para cifrar archivos importantes, como documentos, PDF, archivos, bases de datos, fotos, etc. Los atacantes explotan los datos afectados como una forma de extorsionar a sus víctimas.
El Po Ransomware sigue el comportamiento típico asociado con las variantes de Dharma . Modifica los nombres de los archivos bloqueados al adjuntarles una cadena de identificación, un correo electrónico y una nueva extensión de archivo. La dirección de correo electrónico agregada a los nombres de los archivos es 'recovery2022@tutanota.com', mientras que la extensión del archivo es '.Po'. La amenaza también dejará caer dos notas de rescate en los sistemas infectados.
Uno de los mensajes que exigen rescate se entregará como un archivo de texto llamado 'info.txt'. Las instrucciones dentro del archivo son extremadamente breves y en su mayoría se refieren a decirles a los usuarios que se comuniquen con los atacantes enviando mensajes a sus dos direcciones de correo electrónico: 'recovery2022@tutanota.com' o 'mr.helper@gmx.com'. Se mostrará una nota de rescate más larga en una ventana emergente recién creada. Aquí, la amenaza reiterará que las víctimas deben establecer contacto con los ciberdelincuentes. Sin embargo, la nota también contiene numerosas advertencias, diciéndoles a los usuarios que no cambien el nombre de los archivos cifrados ni intenten restaurarlos con herramientas de terceros, ya que hacerlo podría causar daños permanentes.
El mensaje que se encuentra dentro del archivo de texto es:
'todos sus datos nos han sido bloqueados
¿Quieres volver?
escriba el correo electrónico recovery2022@tutanota.com o mr.helper@gmx.com'
La ventana emergente muestra la siguiente nota:
' SUS ARCHIVOS ESTÁN CIFRADOS
1024
¡No te preocupes, puedes devolver todos tus archivos!
Si desea restaurarlos, escriba al correo: recovery2022@tutanota.com SU ID -
Si no ha contestado por correo en 12 horas, escríbanos por otro correo: mr.helper@gmx.com
¡ATENCIÓN!
Le recomendamos que se ponga en contacto con nosotros directamente para evitar pagar de más a los agentes.
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos con software de terceros, puede causar la pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede aumentar el precio (agregan su tarifa a la nuestra) o puede convertirse en víctima de una estafa. '
