Ransomware V (Dharma)
Las amenazas cibernéticas se han vuelto cada vez más sofisticadas, por lo que es fundamental que los usuarios implementen medidas de seguridad sólidas para proteger sus dispositivos. Una variedad de ransomware particularmente agresiva, el ransomware V (Dharma), cifra archivos y exige un pago para descifrarlos. Comprender cómo opera esta amenaza y adoptar prácticas de seguridad sólidas es esencial para mantenerse a salvo.
Tabla de contenido
Cómo el ransomware V (Dharma) cifra los archivos
El ransomware V (Dharma) pertenece a la familia Dharma , un conocido grupo de ransomware que ataca principalmente a los sistemas Windows. Una vez que se infiltra en un dispositivo, cifra los archivos y modifica sus nombres añadiendo un ID de víctima único, una dirección de correo electrónico controlada por el atacante y la extensión ".V". Por ejemplo, un archivo llamado "1.png" se convierte en "1.png.id-9ECFA84E.[vijurytos@tuta.io].V", mientras que "2.pdf" se renombra como "2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V".
Una vez que se completa el cifrado, el ransomware V muestra una nota de rescate emergente y crea un archivo de texto llamado "info.txt" en los directorios afectados. La nota de rescate solicita a las víctimas que se comuniquen con los atacantes por correo electrónico, incluido su ID único. Si no se recibe respuesta en 12 horas, se proporciona una dirección de correo electrónico secundaria.
Demandas y tácticas de rescate
La nota de rescate advierte a las víctimas de que sus archivos han sido cifrados y que solo pueden recuperarse si compran una herramienta de descifrado a los atacantes. Para convencer a las víctimas de que es posible descifrarlos, los delincuentes ofrecen descifrar hasta tres archivos (de menos de 3 MB) de forma gratuita, siempre que los archivos no contengan datos valiosos.
Además, la nota desaconseja a las víctimas cambiar el nombre de los archivos cifrados o intentar utilizar software de descifrado de terceros, advirtiendo que hacerlo puede provocar una pérdida permanente de datos o un aumento de las exigencias de rescate. Se incluye un enlace para comprar Bitcoin, enfatizando que los pagos del rescate deben realizarse en criptomonedas.
Tácticas furtivas y mecanismos de persistencia
El ransomware V comparte muchas características con otras variantes de Dharma, lo que lo hace muy eficaz para impedir que las víctimas accedan a sus datos. Además del cifrado, realiza varias acciones para fortalecer su control sobre un sistema infectado:
- Deshabilitar funciones de seguridad: el ransomware desactiva el firewall del sistema para evitar ser detectado.
- Eliminar copias de seguridad: elimina las instantáneas de volumen (archivos de copia de seguridad de Windows), lo que dificulta la recuperación de datos sin una clave de descifrado.
- Garantizar la persistencia: V se copia a sí mismo en el directorio '%LOCALAPPDATA%' y modifica las claves de ejecución del registro de Windows para que se inicien cada vez que se inicia el sistema.
- Segmentación selectiva: el ransomware puede evitar cifrar archivos en ubicaciones específicas, lo que probablemente garantice la funcionalidad continua del sistema o evada la detección.
Cómo se propaga el ransomware V (Dharma)
Los atacantes utilizan diversos métodos para distribuir el ransomware V, y atacan a usuarios que, sin saberlo, exponen sus sistemas a riesgos de seguridad. Algunos de los vectores de infección más comunes son:
- Servicios de Protocolo de Escritorio Remoto (RDP) comprometidos: los actores de amenazas explotan credenciales de RDP débiles realizando ataques de fuerza bruta o de diccionario para obtener acceso no autorizado.
- Archivos adjuntos y enlaces de correo electrónico fraudulentos: los usuarios pueden recibir correos electrónicos de phishing con archivos adjuntos infectados o enlaces que conducen a sitios web que implementan ransomware.
- Explotación de vulnerabilidades de software: los ciberdelincuentes aprovechan fallas de seguridad sin parches para instalar ransomware en sistemas vulnerables.
- Software pirateado y programas crackeados: descargar software de fuentes no oficiales aumenta el riesgo de encontrarse con ejecutables infectados con ransomware.
- Anuncios falsos y sitios web inseguros: los usuarios pueden ser engañados para que descarguen ransomware a través de anuncios engañosos o sitios web comprometidos.
- Unidades USB infectadas: los ciberdelincuentes a veces utilizan unidades externas infectadas para propagar ransomware cuando se conectan a un dispositivo de destino.
Mejores prácticas para reforzar su seguridad
Para prevenir las infecciones por ransomware es necesario adoptar un enfoque proactivo en materia de ciberseguridad. Estas son las medidas más eficaces que los usuarios deberían adoptar para proteger sus dispositivos:
- Utilice contraseñas difíciles de descifrar y habilite la autenticación multifactor (MFA) : proteja RDP y las cuentas en línea con contraseñas complejas y únicas, y habilite la MFA para evitar el acceso no autorizado.
- Mantenga el software y los sistemas operativos actualizados : instale periódicamente actualizaciones de seguridad para corregir las vulnerabilidades que el ransomware puede explotar.
- Deshabilitar servicios RDP no utilizados : si el acceso al escritorio remoto no es necesario, deshabilite RDP para eliminar un vector de ataque común.
- Realice copias de seguridad de los datos periódicamente : almacene las copias de seguridad en dispositivos externos o servicios en la nube que no estén conectados directamente al sistema central para evitar que el ransomware las cifre.
- Tenga mucho cuidado con los archivos adjuntos y enlaces de correo electrónico : evite acceder a archivos adjuntos de correo electrónico inesperados o hacer clic en enlaces sospechosos, incluso si parecen provenir de fuentes confiables.
- Descargue software únicamente de fuentes oficiales : evite los programas pirateados y los descargadores de terceros, ya que a menudo contienen código malicioso.
- Utilice software de seguridad con protección contra ransomware : si bien ninguna herramienta garantiza una protección completa, las soluciones de seguridad con funciones de detección de ransomware pueden ayudar a prevenir infecciones.
- Habilitar la segmentación de red : si utiliza varios dispositivos, aísle los sistemas críticos de las máquinas de uso general para limitar la capacidad del ransomware de propagarse por una red.
Reflexiones finales
El ransomware V (Dharma) es una amenaza muy perjudicial que cifra los archivos y exige el pago de un rescate a las víctimas. Dado que los atacantes eliminan deliberadamente las copias de seguridad y desactivan las funciones de seguridad, restaurar los datos cifrados sin una clave de descifrado puede resultar extremadamente difícil. La mejor medida para evitar ser víctima del ransomware es adoptar hábitos de ciberseguridad sólidos, mantener copias de seguridad de los archivos esenciales y estar alerta al navegar por la Web o abrir correos electrónicos.
Mensajes
Se encontraron los siguientes mensajes asociados con Ransomware V (Dharma):
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email vijurytos@tuta.io or vijurytos@cyberfear.com |
