El ransomware STOP / DJVU está muy activo y causa mucho daño a los usuarios. El analista de virus de G DATA, Karsten Hahn, habla sobre las características especiales del STOP ransomware, qué deben hacer los usuarios si su sistema se ve afectado y cómo pueden protegerse.
¿De dónde obtiene su nombre el malware?
Este ransomware se ha llamado STOP / DJVU desde las primeras variantes conocidas, que utilizan las extensiones de archivo .stop y .djvu. Si un ransomware no incluye tu nombre en el mensaje de rescate, la extensión del archivo se usa con mucha frecuencia como nombre, porque los usuarios afectados generalmente buscan la extensión en Internet.
¿Qué hace que STOP ransomware sea particularmente peligroso?
Los desarrolladores de este malware distribuyen STOP ransomware como “Ransomware-as-a-Service” (RaaS). RaaS significa que los delincuentes pueden configurar el malware como lo deseen. Por lo general, pueden especificar sus propias extensiones de archivo, los archivos a cifrar, la cantidad de la solicitud de rescate y una dirección de correo electrónico de contacto específica. STOP ransomware utiliza nuevas extensiones para los archivos cifrados con cada variante. Los ejemplos son: .stop, .toec, .leto, .neka, .coot, .nols y .kuub. Las opciones de configuración dificultan la identificación de la familia de ransomware, porque existe el riesgo de confusión con otros ransomware que podrían estar utilizando las mismas extensiones de archivo.
¿STOP Ransomware ataca específicamente a empresas o particulares?
En casi todos los casos, las personas privadas se ven afectadas por STOP Ransomware porque los principales canales de distribución son descargas ilegales de software, grietas para productos de Windows o Microsoft Office y paquetes de adware. Es malware para el mercado masivo. Esto lo distingue de Ryuk, por ejemplo, que generalmente encripta específicamente las redes corporativas. Finalmente, los grupos objetivo dependen de quién está implementando el ransomware STOP.
¿Qué sucede con un ataque de ransomware?
Esto depende mucho de la cadena de ataque. Por ejemplo, los atacantes pueden obtener acceso a sistemas con RDP configurado de forma insegura probando contraseñas y nombres de usuario de uso frecuente. Esto les permite penetrar en el sistema y luego ejecutar ransomware en él.
Los delincuentes usan kits de explotación, que también pueden comprar como servicio, para definir los canales de distribución, y por lo tanto también el curso del ataque, de antemano. Estos pueden ser kits de explotación que envían documentos de Word infectados por correo electrónico. STOP ransomware encripta documentos de Office , archivos de imagen y video, así como archivos PDF. El malware ahorra archivos ejecutables. Los atacantes no se preocupan por cifrar archivos relacionados con el sistema, sino por inutilizar archivos personales importantes, hasta que los usuarios paguen un rescate.
Ver articulo original aquí
