Ransomweb ransomware
A pesar de su nombre, Ransomweb Ransomware solo pretende ser ransomware. Inicialmente, parece estar siguiendo el comportamiento típico de este tipo de amenaza de malware: se observó que infectaba el sitio web de una víctima, encriptaba los archivos allí, agregaba los nombres de los archivos originales con su propia extensión de archivo: '.xploiter' y generaba una nota de rescate. . Mirar el texto dejado por los ciberdelincuentes muestra que algo anda mal. No existen canales de comunicación, como correos electrónicos, que los usuarios afectados puedan contactar con los delincuentes para obtener más detalles. La nota ni siquiera menciona ningún pago de rescate, el objetivo principal de cualquier operación de ransomware. En cambio, los piratas informáticos responsables del Ransomweb Ransomware parecen estar justo después de causar el caos y afirman que todos los archivos afectados no se pueden recuperar a menos que la víctima tenga una copia de seguridad adecuada.
El mensaje atípico hizo que los investigadores de seguridad de información de Sucuri Labs profundizaran un poco más en el código y la funcionalidad de la amenaza. Encontraron un archivo PHP llamado 'opens.php' que estaba ofuscado y, por lo tanto, ilegible en su estado actual. Después de lograr desofuscar el archivo con éxito y traducirlo al inglés del texto indonesio inicial, los investigadores descubrieron un archivo de desbloqueo. Dentro de su código, contenía el método para recuperar todos los archivos bloqueados por Ransomweb Ransomware porque, como resultó, solo parecían estar cifrados, mientras que la verdad era que los archivos habían sido ofuscados. Al final, ambos procesos producen el resultado de que los archivos afectados son inaccesibles e inutilizables, pero trabajar a través de la ofuscación es completamente posible, mientras que descifrar el posible cifrado es casi imposible con las claves de descifrado necesarias. La ofuscación en cuestión que se usa para todos los archivos .xploiter bloqueados se llama gzdeflate, y para revertirla y restaurar los datos debe usarse gzinflate.
A pesar de su nombre, Ransomweb Ransomware solo pretende ser ransomware. Inicialmente, parece estar siguiendo el comportamiento típico de este tipo de amenaza de malware: se observó que infectaba el sitio web de una víctima, encriptaba los archivos allí, agregaba los nombres de los archivos originales con su propia extensión de archivo: '.xploiter' y generaba una nota de rescate. . Mirar el texto dejado por los ciberdelincuentes muestra que algo anda mal. No existen canales de comunicación, como correos electrónicos, que los usuarios afectados puedan contactar con los delincuentes para obtener más detalles. La nota ni siquiera menciona ningún pago de rescate, el objetivo principal de cualquier operación de ransomware. En cambio, los piratas informáticos responsables del Ransomweb Ransomware parecen estar justo después de causar el caos y afirman que todos los archivos afectados no se pueden recuperar a menos que la víctima tenga una copia de seguridad adecuada.
Sin embargo, existe un último obstáculo, ya que antes de que se pueda iniciar el proceso de desofuscación, se debe proporcionar una contraseña. Sin embargo, tener acceso al archivo de desbloqueo en sí mismo permite modificarlo de tal manera que la verificación de contraseña se elimine por completo o la contraseña en sí se cambie a algo que el usuario ya conoce.
