Temlo Ransomware

Se ha desatado una nueva variante de la familia VoidCrypt Ransomware en estado salvaje. La amenaza se llama Temlo Ransomware y puede causar daños masivos a las computadoras vulneradas. Como todas las demás variantes de la familia, Temlo también está diseñado para apuntar a tipos de archivos específicos y bloquearlos mediante el uso de un algoritmo criptográfico imposible de descifrar. Posteriormente, los ciberdelincuentes intentan extorsionar a sus víctimas por dinero a cambio de la clave de descifrado y la herramienta que potencialmente podría restaurar la información bloqueada.

Detalles técnicos

Como parte de su proceso de cifrado, Temlo Ransomware también cambia los nombres originales de los archivos afectados. La amenaza sigue las convenciones de nomenclatura asociadas con la familia VoidCrypt. Agrega una dirección de correo electrónico, un número de identificación asignado a la víctima y una nueva extensión de archivo.

La dirección de correo electrónico utilizada en los nombres de los archivos cifrados es "temloown@gmail.com". La nueva extensión de archivo es '.temlo'. Las víctimas de la amenaza se quedan con una nota de rescate que contiene instrucciones de los piratas informáticos. El mensaje se envía al dispositivo comprometido en forma de un archivo de texto llamado "Decrypt-info.txt".

Descripción general de la nota de rescate

Según la nota, la primera acción que toman las víctimas de Temlo Ransomware es localizar un archivo específico que se ha creado en sus computadoras. Aparentemente, los ciberdelincuentes necesitan este archivo para tener la oportunidad de restaurar los datos del usuario. El archivo se llama 'prvkey * .txt.key' y debe estar ubicado en C: \ ProgramData. \ Sin embargo, se les dice a las víctimas que revisen todas sus unidades.

El archivo debe enviarse a una de las direcciones de correo electrónico proporcionadas: 'temloown@gmail.com' y 'temloown@tuta.io'. Junto a él, las víctimas también pueden enviar varios pequeños archivos cifrados que supuestamente se desbloquearán de forma gratuita. El último detalle importante mencionado en la nota es que el rescate debe pagarse utilizando la criptomoneda Bitcoin.

El texto completo de la nota de rescate es:

' Todos sus archivos se han cifrado

Tienes que pagar para recuperar tus archivos

Vaya a C: \ ProgramData \ o en Sus otras unidades y envíenos el archivo prvkey * .txt.key, * podría ser un número (como este: prvkey3.txt.key)

Puede enviar un archivo de menos de 1 MB para la prueba de descifrado para confiar en nosotros, pero el archivo de prueba no debe contener datos valiosos

El pago debe hacerse con Bitcoin
Cambiar Windows sin guardar el archivo prvkey.txt.key provocará una pérdida de datos permanente

Nuestro correo electrónico: temloown@gmail.com
en caso de no respuesta: temloown@tuta.io '.