XznShirkiCry ransomware

XznShirkiCry, una cepa de ransomware descubierta por expertos en seguridad de la información mientras examinaban posibles amenazas de malware, exhibe características distintivas diseñadas para comprometer la integridad de los datos en los dispositivos infectados. El análisis en profundidad realizado por los expertos ha revelado que XznShirkiCry está diseñado específicamente para cifrar datos con éxito tras la infiltración. En particular, esta amenaza introduce modificaciones como agregar una extensión específica a los nombres de los archivos afectados, alterar el fondo de pantalla del escritorio del sistema infectado y entregar una nota de rescate como un archivo de texto titulado "read_me.txt".

La extensión adjunta toma la forma '.locked[payransom1@gmailcom][ID_STRING]' y, como ejemplo de su impacto, el ransomware cambia el nombre de los archivos agregando esta extensión. Por ejemplo, '1.doc' se convierte en '1.doc.locked[payransom1@gmailcom]id18666' y '2.png' se transforma en '2.png.locked[payransom1@gmailcom]id18666'. Esta convención distintiva de nomenclatura de archivos subraya la intención del ransomware de transmitir información de contacto de los actores de la amenaza, específicamente a través de la dirección de correo electrónico 'payransom1@gmailcom' y un identificador único.

El ransomware XznShirkiCry exige un rescate en Bitcoins

La nota de rescate asociada con XznShirkiCry Ransomware sirve como herramienta de comunicación para que los atacantes informen a las víctimas sobre la terrible situación. Afirma explícitamente que el sistema operativo de la víctima ha sido víctima de la amenaza XznShirkiCry, lo que lleva al cifrado de todos los archivos en el dispositivo afectado. Para recuperar el acceso a los archivos cifrados, las víctimas deben pagar un rescate en una billetera Bitcoin específica y luego comunicarse con los perpetradores a través de la dirección de correo electrónico proporcionada (payransom1@gmail.com).

Un aspecto de advertencia de la nota advierte a las víctimas que no eliminen los archivos cifrados ni intenten alterar sus extensiones, ya que tales acciones podrían imposibilitar el proceso de descifrado. Además, a cada víctima se le asigna una identificación única que se convierte en un identificador crucial para el proceso de descifrado.

Si bien las notas de rescate arrojadas por este tipo de amenazas a menudo describen una vía potencial para la recuperación de archivos mediante el pago de un rescate, los expertos en ciberseguridad desaconsejan encarecidamente a las víctimas que participen en transacciones de rescate debido a los riesgos inherentes involucrados. A pesar de las promesas de restauración de archivos, no hay garantía de que los atacantes cumplan su compromiso.

Las víctimas deben eliminar rápidamente el ransomware de los sistemas comprometidos. Este paso proactivo evita un mayor cifrado de archivos y la posible propagación del ransomware a través de las redes locales. Dar prioridad a la eliminación del ransomware es esencial para salvaguardar la integridad general de los sistemas afectados, aunque no restaurará ningún dato que ya haya sido cifrado.

¿ Cómo proteger sus datos y dispositivos de las amenazas de ransomware?

Proteger datos y dispositivos de las amenazas de ransomware requiere un enfoque proactivo y multifacético. A continuación se presentan varias medidas clave que los usuarios pueden tomar para mejorar sus defensas contra el ransomware:

• Realice copias de seguridad periódicamente : implemente una sólida estrategia de copia de seguridad realizando copias de seguridad periódicas de los datos esenciales. Almacene las copias de seguridad en un sistema fuera de línea o basado en la nube al que no se pueda acceder directamente desde el dispositivo del que se realiza la copia de seguridad. Esto garantiza que, en caso de un ataque de ransomware, las víctimas puedan restaurar sus archivos sin sucumbir a las demandas de rescate.
• Mantenga el software actualizado : actualice periódicamente el sistema operativo, el software de seguridad y todas las demás aplicaciones. Las actualizaciones de software se utilizan para ofrecer parches de seguridad que abordan las vulnerabilidades, lo que dificulta que el ransomware aproveche las debilidades de su sistema.
• Utilice un software de seguridad confiable : instale un software antimalware confiable. Asegúrese de que esté actualizado y configurado para realizar análisis periódicos. El software de seguridad puede detectar y neutralizar las amenazas de ransomware antes de que puedan causar un daño significativo.
• Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico : esté atento al manejar correos electrónicos, especialmente aquellos de fuentes desconocidas o sospechosas. Evite acceder a enlaces o abrir archivos adjuntos en correos electrónicos que parezcan inesperados o que contengan contenido inusual. Muchos ataques de ransomware se inician a través de correos electrónicos de phishing.
• Habilite actualizaciones automáticas : habilite las actualizaciones automáticas para su sistema operativo y software. Esto garantiza que recibirá parches de seguridad críticos con prontitud, lo que reduce la ventana de vulnerabilidad a posibles ataques de ransomware.
• Utilice contraseñas seguras y únicas : utilice contraseñas seguras y únicas para todas las cuentas y dispositivos. Evite el uso de contraseñas fáciles de adivinar y piense en utilizar un administrador de contraseñas para generar y almacenar contraseñas complejas de forma segura.
• Eduque y capacite a los usuarios : infórmese a usted mismo y a otros dentro de su organización sobre los riesgos y las características del ransomware. La capacitación debe incluir reconocer intentos de phishing, comprender hábitos de navegación segura y saber cómo responder a posibles amenazas.
• Implemente la segmentación de red : segmente su red para restringir el movimiento lateral del ransomware. Al dividir su red en segmentos aislados, puede limitar la propagación del ransomware si un segmento se ve comprometido.
• Manténgase informado sobre las amenazas a la seguridad : manténgase actualizado sobre las últimas amenazas y mejores prácticas de ciberseguridad. Seguir blogs de seguridad de buena reputación, asistir a seminarios web y participar en foros de ciberseguridad puede ayudarlo a mantenerse informado sobre las amenazas emergentes de ransomware y las estrategias de defensa efectivas.

Al implementar estas medidas, los usuarios pueden reducir significativamente el riesgo de ser víctimas de ransomware y mejorar la seguridad general de sus datos y dispositivos.

El texto completo de la nota de rescate dejada por XznShirkiCry Ransomware a sus víctimas es:

'Внимание!
Ваша ОС заражена вирусом XznShirkiCry, а все ваши файлы были зашифрованы.
Для того чтобы расшифровать ваши файлы, необходимо заплатить выкуп 5$ на BitCoin-кошелек. После этого написать на нашу электронную почту.
BitCoin-кошелек:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
Электронная почта:payransom1@gmail.com
Важно! Зашифрованы файлы:
Не удалять
Не изменять расширение файлов
В случаи если вы удалите наш вирус или ваш антивирус его удалит, то расшифровка станет невозможна!!!
Ваш ID: - . Данный ID понадобится для расшифровки.'

The English version:

'Attention!

Your OS is infected with the XznShirkiCry virus, and all your files have been encrypted.

In order to decrypt your files, you need to pay a $5 ransom to a BitCoin wallet.
After that, write to our email address.

BitCoin Wallet:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

e-mail:payransom1@gmail.com

Important! Encrypted files:

Do not delete

Do not change the file extension

If you delete our virus or your antivirus deletes it, then decryption will be impossible!!!

Your ID: - . You will need this ID for decryption.'