Nueva versión de Ransomware DeathRansom

El ransomware DeathRansom, encripta archivos en unidades locales y de red, evitando archivos claves para la operación del Sistema Operativo.

Cuando se realizó el análisis pertinentes por Fortinet, se validó que DeathRansom, no cifra realmente el contenido del archivo, sólo agrega la extensión a los nombres, por lo que bastaba con quitar la extensión del archivo, para recuperarlos. A pesar de esto, como casi todo el ransomware, DeathRansom todavía muestra una nota de rescate llamada read_me.txt. En esa nota se puede ver claramente que el autor llama al malware DEATHRANSOM.

La nueva versión de este ransomware utiliza una combinación del algoritmo Curve25519 para el esquema de intercambio de claves Elliptic Curve Diffie-Hellman (ECDH), Salsa20, RSA-2048, AES-256 ECB y un algoritmo XOR de bloque simple para encriptar archivos.

Luego de cifrar los archivos, se muestra una nota de rescate, donde se solicita que se envíe por correo el ID único generado, a la dirección deathransom[@]airmail.cc, esto debido a que el ransomware, sólo tiene conexión a internet a la URL Hxxps[:]//iplogger[.]org/1zqq77, con el fin de obtener la IP pública de la víctima, es por ello que necesita que la víctima envíe por correo el ID de Bloqueo.

Indicadores de Compromiso (IoC)IP / URL

Hxxps[:]//iplogger[.]org/1zqq7788[.]99[.]66[.]31

Correo

deathransom[@]airmail.cc

Hash

a35596ed0bfb34de4e512a3225f8300a8ea78e5a123c13c3bda144d0fcf430c0c50ab1df254c185506ab892dc5c8e24b

• Docker en Linux
• Noticias de Ciberseguridad, semana 5
• MailChimp sufre una brecha de seguridad y compromete información de clientes.
• Instalación GLPI 10.0.1 en Ubuntu Server 22.04
• Trabajando con directorios

ccastrol

me considero un activista en el esfuerzo GNU/Linux

See author's posts