Crocodile Smile Ransomware alojará sus datos como rehenes

Durante una investigación sobre nuevas muestras de archivos, nuestros investigadores descubrieron el ransomware Crocodile Smile. Este software malicioso funciona cifrando datos y luego exigiendo un pago a cambio de descifrarlos.

Al ejecutar una muestra de Crocodile Smile en nuestra máquina de prueba, inmediatamente inició el proceso de cifrado. Los nombres de los archivos afectados se modificaron con la extensión ".CrocodileSmile"; por ejemplo, "1.jpg" se convirtió en "1.jpg.CrocodileSmile", "2.png" se convirtió en "2.png.CrocodileSmile", y así sucesivamente para todos los archivos cifrados.

Al finalizar el proceso de cifrado, Crocodile Smile alteró el fondo de pantalla del escritorio y generó una nota de rescate con la etiqueta "READ_SOLUTION.txt".

El contenido de la nota de rescate indica que Crocodile Smile se dirige principalmente a grandes organizaciones y no a usuarios individuales. Es probable que las víctimas estén situadas en Europa, como se deduce de una línea en la nota de rescate que menciona el cumplimiento de las normas europeas de protección de datos, lo que indica un enfoque en informar a las víctimas sobre la violación y brindarles asistencia.

El mensaje transmitido en la nota de rescate informa a la víctima que sus archivos han sido cifrados y sus datos confidenciales se han visto comprometidos. Se les indica que paguen 20,6 BTC (criptomoneda Bitcoin) para obtener la clave de descifrado y evitar que los atacantes filtren los datos robados. Al momento de escribir este artículo, esta cantidad equivale aproximadamente a 1,4 millones de dólares, por lo que parece obvio que el ransomware está dirigido a empresas y organizaciones y no a usuarios domésticos.

La nota de rescate con sonrisa de cocodrilo intenta sonar divertida

El texto completo de la nota de rescate de Crocodile Smile dice lo siguiente:

If you are opportune to see this message right now, that means your data security has been compromised !!!

You have been hit hard by a sophisticated Ransomware Attack by CROCODILE SMILE, LOL. This Attack is known as OPERATION FLUSH.

All your critical and confidential files, including private documents, photos, databases, and other important informations, have been encrypted, leaked, and transferred to our servers.

In accordance with European data protection regulations, we are reaching out to inform you of this breach and to offer assistance in recovering your encrypted files.

We acknowledge the gravity of the situation and are fully dedicated to swiftly delivering a solution. Our priority is to safeguard your organization's reputation and ensure the confidentiality of your files and documents remains intact, free from any leaks or compromises.

To initiate the decryption process and retrieve your files, please follow these official steps:

1) Contact our designated communication channel via Telegram ID: CrocodileSmile

2) Make the necessary arrangements to obtain 20.6 Bitcoin, as payment for the decryption service. Please note that decryption can only be completed upon receipt of payment in Bitcoins.

3) Upon successful payment, we will provide you with the decryption key required to swiftly decrypt all affected files. We assure you that compliance with these instructions is crucial for the recovery of your data.

We urge you to act swiftly to mitigate further data loss and restore the integrity of your information assets. Should you require any clarification or assistance, do not hesitate to contact us through the designated communication channel.

¿Cómo puede proteger de forma preventiva sus datos contra ataques de ransomware?

Proteger preventivamente sus datos de ataques de ransomware implica implementar varias medidas proactivas para minimizar el riesgo de infección y mitigar daños potenciales. Aquí hay algunas estrategias que puede adoptar:

Realice copias de seguridad periódicamente: mantenga copias de seguridad periódicas de sus datos importantes en discos duros externos, almacenamiento en la nube o servidores de respaldo. Asegúrese de que las copias de seguridad se almacenen sin conexión o en un segmento de red separado para evitar que el ransomware las cifre.

Actualizar software: mantenga todos los sistemas operativos, aplicaciones y software de seguridad actualizados con los últimos parches y actualizaciones de seguridad. Las vulnerabilidades del software obsoleto pueden ser aprovechadas por ransomware.

Utilice software antivirus y antimalware: instale programas antivirus y antimalware confiables en todos los dispositivos y asegúrese de que se actualicen periódicamente. Estas herramientas pueden detectar y bloquear infecciones de ransomware.

Emplee medidas de seguridad del correo electrónico: implemente soluciones de escaneo y filtrado de correo electrónico para detectar y bloquear archivos adjuntos y enlaces sospechosos que puedan contener ransomware. Eduque a los empleados sobre los riesgos de los correos electrónicos de phishing y fomente un comportamiento cauteloso al abrir archivos adjuntos o hacer clic en enlaces.

Habilite la protección de firewall: utilice firewalls para monitorear y controlar el tráfico de red entrante y saliente, bloqueando el acceso no autorizado y las conexiones potencialmente maliciosas.

Restringir privilegios de usuario: limite los permisos de usuario solo al nivel necesario para realizar sus tareas. Restringir los privilegios administrativos puede ayudar a evitar que el ransomware se propague a través de las redes.