Hals Intelligence te informa que en los últimos días se ha comenzado a ver un nuevo ransomware denominado Kristina. Lo que es interesante con esta infección particular es que no cifrar los archivos automáticamente. Al parecer, luego de infectar la computadora, los delincuentes seleccionan de forma manual y remotamente qué unidad y archivos desean cifrar.
La infección fue descubierta por un investigador de malware de S!Ri. Desafortunadamente, por ahora no hay forma de descifrar los archivos cifrados por Kristina.
En primer lugar, un archivo .ZIP malicioso debe ser descargado a la computadora de la víctima, generalmente a través de un adjunto en el correo electrónico. El archivo ejecutable principal KristinaCS.exe está dentro del comprimido.
Una vez descargado, los delincuente podrían ejecutarlo de manera remota y comenzar el proceso de cifrado selectivo. Cuando finaliza el proceso de seleccioón, todos los archivos almacenados en un directorio particular se cifran y se agrega un indicador “[id] =hernansec@protonmail.ch.crypt12” al final de cada uno de ellos. A partir de este momento, no se podrá abrir ninguno de esos archivos. Al parecer este malware está relacionado con Crypt12.
Inmediatamente después, aparece un archivo en el escritorio: la nota de rescate. Esta nota brinda información detallada sobre su situación actual y lo que se debe hacer: pagar el rescate y comunicarse con la dirección hernansec @ protonmail.ch para recibir más instrucciones. En este momento se requiere el pago de alrededor de U$S500 para recibir una clave única que permite descifrar los archivos.
Soporte a estos casos a nuestros correos electronicos.