TurkStatik Ransomware

Recientemente apareció una nueva amenaza de ransomware en la naturaleza. Su nombre es TurkStatik Ransomware. Esta amenaza no parece pertenecer a ninguna de las familias populares de ransomware cuyas nuevas copias vemos todo el tiempo. Lo diferente de esta amenaza de ransomware es que parece apuntar principalmente a usuarios turcos. Los investigadores de malware llegaron a esta conclusión después de estudiar esta amenaza y notar que el mensaje de rescate está escrito en turco con fluidez sin ningún error gramatical u ortográfico. Esto los llevó a creer que el TurkStatik Ransomware no solo está diseñado para apuntar a ciudadanos turcos, sino que parece que también fue construido por nativos turcos.

Propagación y Cifrado

El TurkStatik Ransomware probablemente se propaga a través de correos electrónicos de phishing que intentan engañar al usuario para que abra el archivo adjunto dañado que contiene el código del TurkStatik Ransomware. Cuando TurkStatik Ransomware compromete un sistema, buscará todos los tipos de archivos populares y aplicará su algoritmo de cifrado para bloquearlos. Esta amenaza de ransomware buscará imágenes, archivos de audio, videos, hojas de cálculo, archivos, bases de datos, presentaciones, documentos, etc. Esto garantiza que el TurkStatik Ransomware causará el mayor daño posible al host. Cuando finalice el proceso de encriptación, el usuario notará que los nombres de los archivos bloqueados han sido alterados. El ransomware TurkStatik aplica una extensión '.ciphered' al final de los nombres de los archivos afectados. Por ejemplo, un archivo que se llamó 'rose-ash.jpeg' antes del ataque pasará a denominarse 'rose-ash.jpeg.ciphered' después de que se haya completado la operación.

La nota de rescate

El mensaje de rescate del TurkStatik Ransomware se almacena en un archivo llamado 'README_DONT_DELETE.txt' que se colocará en el escritorio del usuario. Los autores del TurkStatik Ransomware dejan en claro que la tarifa de rescate se exigirá en forma de Bitcoin, pero no mencionan la suma específica. Es probable que revelen la tarifa de rescate tan pronto como la víctima los contacte. Los atacantes dan dos direcciones de correo electrónico donde la víctima puede ponerse en contacto con ellas y recibir más instrucciones: 'decservice@mail.ru' y 'recoverydbservice@protonmail.com'.

Sin embargo, la buena noticia para los usuarios que han sido víctimas de esta desagradable amenaza es que los expertos en ciberseguridad han descifrado esta amenaza de ransomware y han lanzado una clave de descifrado disponible al público a la que se puede acceder con una simple búsqueda en Google. Desafortunadamente, esto no significa que el ransomware TurkStatik haya sido castrado por completo. Los autores de este troyano de bloqueo de archivos pueden actualizar la amenaza y cambiar su rutina de cifrado. Por ahora, los usuarios que se infectan con el TurkStatik Ransomware tienen una tarjeta para salir de la cárcel y no tendrán que cooperar con los delincuentes cibernéticos. Sin embargo, incluso si no hubiera herramientas de descifrado gratuitas disponibles, le recomendamos que no contacte a los ciberdelincuentes como los que están detrás del TurkStatik Ransomware, ya que nada bueno puede salir de él.