FORCE Ransomware mantendrá cautivos sus archivos

Nuestro equipo de investigadores se topó con la variante del ransomware FORCE mientras realizaba un examen de rutina de nuevas muestras de archivos. FORCE pertenece al linaje de ransomware Phobos.

Durante las pruebas en nuestro sistema experimental, FORCE cifró archivos con éxito y luego exigió un pago por descifrarlos. Los nombres de los archivos cifrados se modificaron para incluir un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".FORCE". Por ejemplo, un archivo originalmente llamado "1.jpg" aparecería como "1.jpg.id[9ECFA84E-3545].[data199@mailum.com].FORCE".

Tras el proceso de cifrado, se generaron notas de rescate idénticas: una en forma de ventana emergente ("info.hta") y la otra como archivo de texto ("info.txt"). Estos mensajes se depositaban en el escritorio y se distribuían en todos los directorios que contenían archivos cifrados.

Las notas de rescate asociadas con FORCE indican que los archivos de la víctima han sido cifrados y los datos confidenciales se han visto comprometidos. Para descifrar los archivos, se exige el pago de un rescate en la criptomoneda Bitcoin. El incumplimiento de estas demandas daría lugar a la venta de la información filtrada. Antes de realizar cualquier pago, se ofrece a la víctima la oportunidad de probar el proceso de descifrado de forma gratuita, aunque con ciertas limitaciones.

Estos mensajes advierten contra la alteración de los archivos cifrados o el uso de herramientas de recuperación de terceros, ya que hacerlo podría hacer que los datos sean permanentemente inaccesibles. Además, se advierte a la víctima que buscar ayuda de partes externas podría exacerbar sus pérdidas financieras.

Nota de rescate FORCE completa

El texto completo de la nota de rescate de FORCE dice lo siguiente:

Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.

¿Cómo se distribuye comúnmente el ransomware en línea?

El ransomware se distribuye comúnmente en línea a través de varios métodos, que incluyen:

Correos electrónicos de phishing: los piratas informáticos envían correos electrónicos engañosos que contienen archivos adjuntos o enlaces maliciosos. Estos correos electrónicos a menudo se hacen pasar por entidades u organizaciones legítimas, lo que incita a los destinatarios a abrir el archivo adjunto o hacer clic en el enlace, lo que luego instala el ransomware en su sistema.

Publicidad maliciosa: los anuncios maliciosos que se muestran en sitios web legítimos pueden redirigir a los usuarios a sitios web que albergan kits de explotación, que a su vez envían ransomware al dispositivo de la víctima a través de vulnerabilidades en su software.

Kits de explotación: son paquetes de código preescrito que explotan vulnerabilidades en software o sistemas operativos obsoletos. Cuando los usuarios visitan sitios web comprometidos o hacen clic en enlaces maliciosos, los kits de exploits descargan e instalan ransomware silenciosamente en sus dispositivos.

Ataques de protocolo de escritorio remoto (RDP): los atacantes obtienen acceso no autorizado a sistemas con credenciales RDP débiles o predeterminadas. Una vez dentro, implementan ransomware directamente en la red comprometida, lo que a menudo causa daños generalizados.

Descargas no autorizadas: se inyecta código malicioso en sitios web legítimos, lo que hace que los visitantes descarguen involuntariamente ransomware en sus dispositivos simplemente navegando por el sitio.

Vulnerabilidades de software: los autores de ransomware explotan vulnerabilidades en el software o los sistemas operativos para obtener acceso no autorizado a los sistemas e instalar ransomware sin el conocimiento o consentimiento del usuario.

Redes punto a punto (P2P): el ransomware puede disfrazarse de software descifrado o contenido pirateado distribuido a través de redes P2P. Los usuarios desprevenidos descargan y ejecutan estos archivos, infectando sin saberlo sus sistemas con ransomware.