Scorp Ransomware

Los ciberdelincuentes han creado una nueva y potente amenaza de ransomware capaz de interrumpir cualquier computadora que logre infectar. Este malware en particular está siendo rastreado como Scorp Ransomware, y el análisis ha revelado que es una variante que pertenece a la familia de malware VoidCrypt. La mayoría de las variantes de una sola familia amenazante son prácticamente copias entre sí, con diferencias mínimas. Sin embargo, eso de ninguna manera disminuye su potencial destructivo.

Una vez entregado al sistema de destino, Scorp Ransomware iniciará un proceso de encriptación que hará que casi todos los archivos almacenados en el dispositivo se vuelvan inaccesibles. Las víctimas se quedan con pocas opciones viables cuando se trata de restaurar sus datos. Como parte de sus acciones, la amenaza también modificará los nombres de los archivos afectados. Les agregará una dirección de correo electrónico, una cadena de caracteres aleatorios y '.scorp' como una nueva extensión. El correo electrónico utilizado por Scorp es 'sc0rpio@mailfence.com'.

Detalles de la nota de rescate

Cuando la amenaza haya terminado de bloquear todos los tipos de archivos específicos, dejará caer una nota de rescate con instrucciones para sus víctimas. El mensaje de los piratas informáticos se entregará al sistema infectado como un archivo de texto llamado 'Decrypt-me.txt'. Según el mensaje, las víctimas deben ante todo localizar un archivo llamado prvkey .txt ( puede ser un número) que debería haber sido creado por el ransomware en la carpeta C:\ProgramData\. Este archivo es esencial para la restauración de los datos cifrados y, sin él, ni siquiera los ciberdelincuentes podrán desbloquear los archivos.

La nota de rescate también aclara que se espera que las víctimas paguen un rescate y que los fondos que deben transferirse deben estar en la criptomoneda Bitcoin. Los usuarios también pueden enviar un par de archivos pequeños (menos de 1 MB) para descifrarlos de forma gratuita. La nota de rescate reitera que la única forma de llegar a los atacantes es a través de la dirección de correo electrónico 'sc0rpio@mailfence.com'.

El texto completo del mensaje de rescate es:

' Todos sus archivos han sido encriptados

Tiene que pagar para recuperar sus archivos

1-Vaya a C:\ProgramData\ o en sus otras unidades y envíenos el archivo prvkey*.txt.key, * podría ser un número (como este: prvkey3.txt.key)

2-Puede enviar un archivo de menos de 1mb para la prueba de descifrado para confiar en nosotros, pero el archivo de prueba no debe contener datos valiosos

3-El pago debe ser con Bitcoin

4-Cambiar Windows sin guardar el archivo prvkey.txt.key causará la pérdida permanente de datos

Nuestro correo electrónico: sc0rpio@mailfence.com

en caso de no respuesta: scorpi0@mailfence.com .'