TOR ransomware

Parece que la familia Dharma Ransomware mantiene su posición como una de las principales opciones entre los ciberdelincuentes cuando se trata de desarrollar nuevas amenazas de ransomware. Una de las últimas variantes basadas en Dharma es TOR Ransomware. La amenaza tiene como objetivo colarse en las computadoras de los usuarios y luego iniciar un proceso de cifrado que bloqueará la mayoría de los datos almacenados allí. Las consecuencias podrían ser devastadoras y los usuarios afectados perderían el acceso a casi todos los archivos personales o relacionados con la empresa.

TOR Ransomware sigue el patrón de nomenclatura establecido que se observa en la mayoría de las variantes de Dharma. Cada archivo cifrado tendrá una cadena que representa la identificación única asignada a la víctima adjunta a su nombre original. A continuación, la amenaza agregará un correo electrónico bajo el control de sus operadores, antes de finalmente colocar '.TOR' como una nueva extensión de archivo. Las víctimas recibirán dos notas de rescate: la principal se mostrará en una ventana emergente, mientras que un mensaje secundario se incluirá dentro de un archivo de texto llamado 'ARCHIVOS ENCRIPTADOS.txt'.

Detalles de los mensajes de rescate

La ventana emergente generada por TOR Ransomware indica que las víctimas pueden restaurar sus archivos, pero solo si cumplen con las demandas de los piratas informáticos. Ninguno de los detalles importantes, como el monto del rescate, se menciona en la nota. Para obtener más detalles, los usuarios deben comunicarse con dos direcciones de correo electrónico: todecrypt@disroot.org o todecrypt@onionmail.org. El resto de la ventana emergente está ocupado por una sección que enumera varias advertencias. El archivo de texto, por otro lado, contiene solo un par de breves oraciones que reiteran que las víctimas deben iniciar el contacto a través de los dos correos electrónicos de los piratas informáticos.

El texto completo del mensaje en la ventana emergente es:

' SUS ARCHIVOS ESTÁN CIFRADOS

¡No se preocupe, puede devolver todos sus archivos!
Si desea restaurarlos, siga este enlace: envíe un correo electrónico a todecrypt@disroot.org SU ID -
Si no ha sido respondido a través del enlace dentro de las 12 horas, escríbanos por correo electrónico: todecrypt@onionmail.org

¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, puede causar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede causar un aumento de precio (ellos agregan su tarifa a la nuestra) o puede convertirse en víctima de una estafa.

El archivo de texto contiene las siguientes instrucciones:

todos tus datos nos han sido bloqueados
Quieres volver?
escriba un correo electrónico a todecrypt@disroot.org o todecrypt@onionmail.org . '