CursoDFIR Ransomware contiene una nota de rescate en portugués

Mientras examinamos nuevas muestras de malware, nos encontramos con cursoDFIR, un tipo de ransomware diseñado para cifrar archivos. Además, cursoDFIR añade su extensión (".cursoDFIR") a los nombres de archivos, altera el fondo del escritorio y genera un documento de texto ("meleaicara.txt") que contiene un mensaje de rescate.

Una ilustración de cómo cursoDFIR cambia el nombre de los archivos cifrados: "1.jpg" se convierte en "1.jpg.cursoDFIR", "2.png" se transforma en "2.png.cursoDFIR", y así sucesivamente. Este mensaje de rescate, redactado en portugués, exige un pago a cambio de descifrar los archivos que cursoDFIR ha bloqueado. Acusa a la víctima de intentar descargar software pirateado de Microsoft y estipula el pago en moneda digital para obtener la clave de descifrado.

Es importante resaltar que este mensaje de rescate carece de datos de contacto, lo que se desvía de la norma para las demandas de ransomware. Normalmente, estos mensajes incluyen instrucciones para que las víctimas se comuniquen con los ciberdelincuentes para discutir el pago del rescate y obtener ayuda para descifrar.

Nota de rescate cursoDFIR redactada en portugués

El texto completo de la breve nota de rescate generada por cursoDFIR dice lo siguiente:

ESTE RANSOMWARE FOI PARA VOCÊ!

É VOCÊ MESMO QUE TENTOU BAIXAR UM MICROSOFT PIRATA!

PARA DESCRIPTOGRAFAR PRECISA PAGAR

PAGAR 1 MOEDA DIGITAL

Key: EC63E8BE0717BD92C0FFBF7A21749A54

CURSO DE DFIR Mente Binária
Professor: Caique

¿Cómo puede el ransomware infectar su computadora?

El ransomware puede infectar su computadora a través de varios métodos, que incluyen:

Correos electrónicos de phishing: uno de los métodos más comunes es a través de correos electrónicos de phishing. Los ciberdelincuentes envían correos electrónicos engañosos que contienen archivos adjuntos o enlaces maliciosos. Cuando los usuarios desprevenidos abren estos archivos adjuntos o hacen clic en los enlaces, el ransomware se descarga y ejecuta en sus sistemas.

Sitios web maliciosos: visitar sitios web comprometidos o maliciosos también puede provocar infecciones de ransomware. Estos sitios web pueden contener kits de explotación que descargan e instalan automáticamente ransomware en las computadoras de los visitantes aprovechando las vulnerabilidades de sus navegadores o complementos.

Descargas no autorizadas: al igual que los sitios web maliciosos, el ransomware se puede descargar en su computadora sin su conocimiento mediante descargas no autorizadas. Estas descargas se producen cuando visita un sitio web legítimo que ha sido comprometido y el malware se descarga e instala automáticamente en su sistema en segundo plano.

Software vulnerable: el ransomware puede aprovechar las vulnerabilidades del software instalado en su computadora, como sistemas operativos, navegadores web o complementos. Los ciberdelincuentes aprovechan estas vulnerabilidades para obtener acceso no autorizado a su sistema e implementar ransomware.

Anuncios maliciosos (publicidad maliciosa): el ransomware también se puede distribuir a través de anuncios maliciosos que se muestran en sitios web legítimos. Al hacer clic en estos anuncios, se puede descargar e instalar automáticamente ransomware en su computadora.