Variante de Cryptomix ransomware
Una variante del ransomware Cryptomix fue descubierta por el investigador Michael Gillespie. Este ransomware de extensión .tasytlock cifra los archivos y cambia los emails de contacto utilizados por el ransomware.
Los métodos de cifrado se mantienen en esta variante, con algunas pequeñas diferencias.
Encontramos que la nota del ransomware tiene como nombre “__HELP_INSTRUCTION.TXT”. Sin embargo, a pesar de ser la misma nota el e-mail de contacto es modificado por t_tasty@aol.com – Permitiendo así a las víctimas poder contactar con los atacantes al estar deshabilitados los medios anteriores.
Los métodos de cifrado se mantienen en esta variante, con algunas pequeñas diferencias.
Encontramos que la nota del ransomware tiene como nombre “__HELP_INSTRUCTION.TXT”. Sin embargo, a pesar de ser la misma nota el e-mail de contacto es modificado por t_tasty@aol.com – Permitiendo así a las víctimas poder contactar con los atacantes al estar deshabilitados los medios anteriores.
Extensión de los archivos cifrados: .tastylock |
Otra de las novedades es la extensión de los archivos cifrados. Con esta versión, cuando un archivo ha sido cifrado por el ransomware se modificará el archivo y posteriormente agregará la extensión .tastylock al nombre.
Modificación del correo electrónico en la nota del ransomware. |
Actualmente, no se puede descifrar el ransomware. Los investigadores que han recibido el programa para descifrar los archivos se encuentran analizándolo para encontrar posibles vulnerabilidades. Mientras tanto, no queda más remedio que esperar a una posible vulnerabilidad en la implementación del cifrado.
Recordamos que pagar la cantidad exigida por los atacantes no es signo de garantía de recuperar los datos. Para evitar este tipo de ataques, es recomendable contar con soluciones antivirus actualizada y evitar abrir documentos adjuntos de destinatarios de dudosa procedencia.
Fernando Díaz
fdiaz@hispasec.com
Más información:
Tastylock cryptomax ransomware:
Powered by WPeMatico