La palabra ransomware empieza a ser conocida por todo el mundo. Después de la cantidad de personas que lo han sufrido ya saben de lo que se habla.
Este ransomware ataca a los equipos windows. Se distribuye através de email.
Los hackers tienen la costumbre de comprar cuentas de email/contraseña en la deepweb y podrías recibir un mail de alguien conocido. Dándole credibilidad y facilidad para hacer click donde no se debe.
Renombra todos los archivos encriptados (+/- 30 caracteres aleatorios) y les agrega la extension .0000. Habrá una nota de rescate con el nombre : _HELP_INSTRUCTION.TXT. Las instrucciones dicen de contactar a estas cuentas de correo electrónico: y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com, and y0000s@yandex.com
Si enviamos un mail al hacker esta sería su respuesta:
| Diane Rose y0000@protonmail.com |
Si hacemos un estudio de su correo electrónico: Utiliza el servicio protonmail que es un servicio de correo web creado en el 2013 en el CERN, a raíz de las revelaciones del extrabajador de la CIA Edward Snowden. Para impedir la vigilancia masiva de las agencias de seguridad estadounidenses.
| MessageId | HqPgCcE0CBFa8Ah2c5c9kg3eMx2nMjylYNCPIgVkrhfGNTeD76pvccdbRqvpfk******jKEVa8-dgnsZ8EiWO13Ey9ULbvupQKc1lI=@protonmail.com |
| Created at: | 23/11/2017 19:30:01 CET ( Delivered after 3 sec ) |
| From: | Diane Rose <y0000@protonmail.com> |
| To: | |
| Subject: | Re: files encrypteds |
| SPF: | pass |
| DKIM: | pass |
| DMARC: | pass |
| # | Delay | From * | To * | Protocol | Time received | |||
|---|---|---|---|---|---|---|---|---|
| 0 | 3 sec | mail4.protonmail.ch. | → | [Google] | mx.google.com | ESMTPS | 23/11/2017 19:30:04 CET | |
| 1 | → | [Google] | 10.28.13.212 | SMTP | 23/11/2017 19:30:04 CET | |||
| 2 | → | [Google] | 10.36.6.79 | SMTP | 23/11/2017 19:30:04 CET |
