SRC ransomware
Durante su investigación de las amenazas de malware, los investigadores de ciberseguridad identificaron un ransomware específico conocido como SRC. Una vez que SRC Ransomware se infiltra en el dispositivo de una víctima, comienza a cifrar varios tipos de archivos. Luego modifica los nombres de archivos originales agregando una identificación de víctima única, la dirección de correo electrónico 'restoreBackup@cock.li' y el archivo. Extensión 'SRC'.
Además del cifrado de archivos, SRC Ransomware cambia la imagen del fondo de escritorio y coloca una nota de rescate en el dispositivo. El mensaje que exige el rescate se almacena en un archivo de texto llamado '+README-WARNING+.txt'. Por ejemplo, SRC Ransomware cambia el nombre del archivo '1.doc' a '1.doc.[2AF25FA3].[RestoreBackup@cock.li].SRC' y '2.pdf' a '2.pdf.[2AF25FA3].[ RestoreBackup@cock.li].SRC.'
Los expertos han confirmado que este ransomware en particular forma parte de la familia de malware Makop .
El SRC Ransomware puede impedir que las víctimas accedan a sus propios datos
La nota de rescate dejada por SRC Ransomware informa a sus víctimas que sus archivos han sido cifrados pero asegura que la estructura del archivo permanece intacta para evitar daños a los datos. Afirma que es necesario un pago para descifrar los archivos y ofrece descifrar dos archivos de muestra para demostrar su capacidad. La nota proporciona una dirección de correo electrónico (restoreBackup@cock.li) y un TOX ID para contactar a los atacantes.
Además, la nota de rescate advierte a las víctimas que no intenten alterar los archivos cifrados ni utilizar herramientas de descifrado de terceros, ya que estas acciones pueden provocar una pérdida permanente de datos.
Una vez que el ransomware cifra los archivos en una computadora, esos archivos se vuelven inaccesibles hasta que se utiliza una herramienta de descifrado. Normalmente, sólo los atacantes poseen la herramienta de descifrado necesaria. Sin embargo, pagar el rescate es arriesgado porque es posible que los atacantes no proporcionen la herramienta de descifrado. Además, ponerse en contacto con los ciberdelincuentes puede exponer a los usuarios a diversos riesgos de privacidad y seguridad.
Es fundamental eliminar el ransomware de los sistemas afectados para evitar que se propague a otras computadoras en red o cifre aún más archivos en el mismo sistema. Sin embargo, eliminar el ransomware no restaurará los archivos que ya han sido cifrados.
Implemente potentes medidas de seguridad para proteger sus dispositivos contra amenazas de malware y ransomware
Para proteger sus dispositivos contra amenazas de malware y ransomware, se recomienda encarecidamente a los usuarios que implementen las siguientes medidas de seguridad:
Copias de seguridad periódicas :
Copias de seguridad frecuentes: realice copias de seguridad periódicas de los datos importantes en unidades externas o almacenamiento en la nube. Asegúrese de que las copias de seguridad se mantengan fuera de línea o aisladas para evitar que el ransomware las cifre.
Prueba de copia de seguridad: pruebe periódicamente las copias de seguridad para garantizar que los datos se puedan restaurar correctamente.
Software antimalware :
Protección integral: instale software antimalware confiable que brinde protección en tiempo real y actualizaciones periódicas.
Análisis periódicos: realice análisis completos del sistema con frecuencia para detectar y eliminar amenazas potenciales.
Actualizaciones de software :
Actualizaciones oportunas: mantenga el software del sistema operativo actualizado con los últimos parches de seguridad.
Actualizaciones automáticas: habilite las actualizaciones automáticas siempre que sea posible para garantizar la corrección oportuna de las vulnerabilidades.
Seguridad del correo electrónico :
Filtros de spam: utilice filtros de spam sólidos para bloquear correos electrónicos de phishing y archivos adjuntos maliciosos. Precaución con los archivos adjuntos: evite acceder a archivos adjuntos y enlaces de correo electrónico de fuentes desconocidas o sospechosas.
Seguridad de la red :
Firewalls: habilite y configure firewalls para monitorear y controlar el tráfico de red entrante y saliente.
Conexiones seguras: utilice VPN para proteger las conexiones a Internet, especialmente cuando utilice Wi-Fi público.
Controles de acceso :
Privilegios de usuario: limite los privilegios de usuario al mínimo necesario para realizar sus tareas, reduciendo el impacto de posibles infecciones.
Contraseñas seguras: implemente contraseñas únicas y eficaces para todas las cuentas y cámbielas periódicamente. Utilice la autenticación multifactor (MFA) para obtener una capa adicional de seguridad.
Capacitación en concientización sobre seguridad :
Capacitación de empleados: eduque a los empleados y usuarios sobre los riesgos del malware y el ransomware, las prácticas seguras en Internet y cómo reconocer los intentos de phishing.
Educación continua: brinde capacitación continua sobre concientización sobre seguridad para mantener a los usuarios informados sobre las últimas amenazas y técnicas de prevención.
Control de aplicaciones :
Lista blanca: establezca listas blancas de aplicaciones para garantizar que solo el software aprobado pueda ejecutarse en la red.
Monitoreo: Supervise periódicamente las aplicaciones instaladas y elimine las que sean innecesarias o sospechosas.
Al implementar estas medidas de seguridad integrales, los usuarios pueden evitar infecciones de malware y ransomware y proteger sus datos y dispositivos de posibles amenazas.
El texto de la nota de rescate generada por SRC Ransomware es:
'::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailbox: RestoreBackup@cock.li
Or you can contact us via TOX: -
You don't know about TOX? Go to hxxps://tox.chat.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files..6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'
