Ransomware completo
Los investigadores han descubierto una nueva amenaza de ransomware llamada "Whole". Este software dañino está diseñado para cifrar datos en sistemas infectados y luego exigir rescates al propietario de la PC a cambio de la clave de descifrado. Para llevar a cabo su operación destructiva, Whole Ransomware bloquea varios tipos de archivos y agrega los nombres de cada archivo con una extensión '.whole'. Por ejemplo, si un archivo originalmente se llamaba '1.jpg', después del cifrado, se le cambiaría el nombre a '1.jpg.whole'. Este proceso de cambio de nombre afecta a todo tipo de archivos, como imágenes, documentos y más.
Además de cifrar archivos, Whole Ransomware también altera el fondo de pantalla del escritorio del sistema infectado, dejando en claro que el sistema ha sido comprometido. Además, el ransomware crea una nota de rescate con el título 'README-ID-[victim's_ID].txt' en el dispositivo vulnerado. El contenido de esta nota sirve como un mensaje para la víctima, brindando instrucciones sobre cómo pagar el rescate exigido y obtener la clave de descifrado.
La nota de rescate y otras pistas sugieren que este ransomware en particular está dirigido principalmente a empresas y organizaciones y no a usuarios domésticos individuales. Esto indica un mayor nivel de sofisticación y posiblemente demandas de rescate más sustanciales. Vale la pena señalar que Whole Ransomware parece compartir similitudes con Keylock Ransomware , lo que sugiere una posible conexión o linaje entre las dos amenazas.
Todo el ransomware impide que las víctimas accedan a sus propios datos
El mensaje que Whole Ransomware muestra en el fondo de escritorio proporciona instrucciones a la víctima, indicándole que lea el archivo de texto adjunto denominado 'README-ID-[victim's_ID].txt'. Esta nota de rescate sirve como comunicación crucial por parte de los atacantes, revelando que los archivos de la víctima han sido cifrados y ahora son inaccesibles. También afirma que la clave de descifrado única necesaria para recuperar los datos cifrados se almacena de forma segura en los servidores de los atacantes.
A las víctimas se les presenta la opción de probar el proceso de descifrado de forma gratuita. Esto se puede hacer enviando algunos archivos cifrados a los ciberdelincuentes, sujeto a ciertas especificaciones. Una advertencia importante es que si la víctima no inicia la comunicación con los atacantes dentro de un período de 72 horas, sus datos confidenciales relacionados con el negocio corren el riesgo de quedar expuestos mediante filtración o venta.
El mensaje de exigencia de rescate concluye con varias advertencias. Se alerta a la víctima de que cualquier intento de cambiar el nombre o modificar de otro modo los archivos afectados, así como el uso de herramientas de recuperación de datos o software de seguridad de terceros, puede hacer que los datos no se puedan descifrar. Enfatiza que el descifrado generalmente requiere la participación directa de los ciberdelincuentes, con raras excepciones en casos de ransomware gravemente defectuoso.
Cabe señalar que las víctimas a menudo no reciben las claves o herramientas de descifrado prometidas, incluso después de cumplir con las demandas de rescate y realizar los pagos. Como resultado, se desaconseja encarecidamente ceder a las demandas de los delincuentes, ya que la recuperación de datos sigue siendo incierta y el pago del rescate sirve para perpetuar esta actividad ilegal.
Medidas de seguridad importantes para implementar en sus dispositivos
Proteger sus dispositivos contra intrusiones de malware es un aspecto crucial para mantener la ciberseguridad. Aquí hay cinco medidas de seguridad importantes, una de las cuales es la creación de copias de seguridad periódicas de sus datos:
Creación de copias de seguridad periódicas de datos :
Las copias de seguridad de datos periódicas son esenciales. En caso de un ataque de malware, tener copias de seguridad actualizadas garantiza que pueda recuperar su información sin pagar un rescate ni sufrir una pérdida permanente de datos. Haga una copia de seguridad de sus datos en dispositivos externos, almacenamiento en la nube o almacenamiento conectado a la red (NAS) con regularidad. Automatiza este proceso, si es posible, y verifica la integridad de tus copias de seguridad.
Instalación y actualización de software de seguridad :
Instale software antimalware confiable y manténgalo actualizado. Los programas de seguridad pueden detectar y eliminar malware conocido, proporcionando una capa crucial de defensa contra las amenazas. Asegúrese de que su software antivirus actualice automáticamente sus definiciones de virus para protegerse contra nuevas variantes de malware.
Actualizaciones periódicas de software y gestión de parches :
Mantenga actualizados el sistema operativo, las aplicaciones de software y el firmware de su dispositivo. El malware a menudo aprovecha las vulnerabilidades del software obsoleto. Aplique periódicamente parches y actualizaciones de seguridad para cerrar estas vulnerabilidades, reduciendo el riesgo de infiltración de malware.
Protección de cortafuegos :
Habilite y configure un firewall en su dispositivo. Los firewalls funcionan como una barrera entre su dispositivo e Internet, lo que ayuda a bloquear el acceso no autorizado y los datos potencialmente maliciosos. Utilice firewalls de red y basados en host para mejorar su seguridad y considere usar sistemas de detección y prevención de intrusiones para una protección avanzada.
Prácticas seguras de Internet y correo electrónico :
Tenga cuidado al navegar por Internet y manejar correos electrónicos. Evite interactuar con enlaces sospechosos o descargar archivos adjuntos de correo electrónico de fuentes desconocidas o no verificadas. Tenga cuidado con los intentos de phishing y absténgase de proporcionar información personal o hacer clic en anuncios emergentes sospechosos. Emplee herramientas de filtrado de correo electrónico para ayudar a identificar y bloquear mensajes potencialmente dañinos.
La incorporación de estas medidas de seguridad en el uso de su dispositivo reducirá significativamente el riesgo de intrusiones de malware. Las copias de seguridad periódicas de los datos son particularmente importantes porque proporcionan una red de seguridad en caso de que el malware traspase sus defensas. Al mantener un enfoque de seguridad proactivo y de múltiples capas, puede proteger mejor sus dispositivos y datos contra amenazas maliciosas.
El texto completo de la nota de rescate creada por Whole Ransomware es:
'YOUR FILES ARE ENCRYPTED
-
Your files have been encrypted with strong encryption algorithms and modified!
Don't worry your unique encryption key is stored securely on our server and your data can be decrypted quickly and securely.
-
We can prove that we can decrypt all of your data. Please just send us 3 not important, small(~2mb) encrypted files, which are randomly stored on your server. Also attach your this file README-ID-.txt left by us in every folder.
We will decrypt these files and send them to you as a proof. Please note that files for free test decryption should not contain valuable information.
-
If you will not start a dialogue with us in 72 hours we will be forced to publish your files in the public domain. Your customers and partners will be informed about the data leak.
This way, your reputation will be ruined. If you will not react, we will be forced to sell the most important information such as databases and personal data to interested parties to generate some profit.
-
If you want to resolve this situation, attach in letter this file README-ID-.txt and write to ALL of these 2 email addresses:pmmx@techmail.info
wholekey@mailfence.com -
IMPORTANT!We recommend you contact us directly to avoid overpaying agents.
We asking to send your message to ALL of our 2 email adresses because for various reasons, your email may not be delivered.
Our message may be recognized as spam, so be sure to check the spam folder.
If we do not respond to you within 24 hours, write to us from another email address.
Por favor, no pierda el tiempo, solo resultará en daños adicionales para su empresa.
No cambie el nombre ni intente descifrar los archivos usted mismo. No podremos ayudarle si se modifican los archivos.
Si intenta utilizar algún software de terceros para restaurar sus datos o soluciones antivirus, haga una copia de seguridad de todos los archivos cifrados.
Si elimina algún archivo cifrado de la computadora actual, es posible que no pueda descifrarlo.
La imagen de fondo del escritorio de Whole Ransomware contiene el siguiente mensaje:
¡Todos tus archivos son robados y encriptados!
Busque README-ID-.txt y siga las instrucciones.
