IRIS Ransomware cifra datos

Durante nuestro examen de nuevas muestras de archivos, nuestro equipo de investigación encontró un software dañino llamado IRIS, que se deriva del ransomware Chaos. IRIS opera cifrando archivos y luego exigiendo un pago por descifrarlos.

En nuestro entorno de prueba, este ransomware bloqueó archivos de manera efectiva y agregó una extensión de cuatro caracteres a sus nombres. Por ejemplo, un archivo originalmente llamado "1.jpg" aparecería como "1.jpg.582m" después del cifrado, mientras que "2.png" se convertiría en "2.png.2n02", y así sucesivamente para todos los archivos afectados. Después de este proceso de cifrado, IRIS alteró el fondo de pantalla del escritorio y dejó una nota de rescate llamada "read_it.txt".

El mensaje transmitido por IRIS explica que los archivos de la víctima han sido cifrados y que para recuperarlos es necesario pagar un rescate de 350 dólares, pagaderos en XMR (criptomoneda Monero). Además, la nota advierte que se han extraído y robado datos confidenciales que pertenecen a la víctima, como el historial de navegación y la información de identificación personal. En consecuencia, formatear el dispositivo se considera una solución ineficaz, ya que los atacantes amenazan con revelar el contenido robado si no se recibe el pago.

La nota de rescate de IRIS exige 350 dólares

El texto completo de la nota de rescate producida por IRIS dice lo siguiente:

HACKED BY IRIS!!!!!!!!!!!

Hello!

First off, this is not personal, its just businuss

All of your files have been encrypted!

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.

What happens if i don't pay?

You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.

How do I buy Monero/XMR?

Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.

Payment Type: Monero/Xmr Coin

Amount: $350 USD In Monero/XMR

Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

If you have any questions or issues contact: iriswaresupport@proton.me

HACKED BY IRIS (THE ONE AND ONLY)

¿Cómo puede entrar el ransomware en su sistema?

El ransomware puede infiltrarse en su sistema a través de varios medios, que incluyen:

Correos electrónicos de phishing: un método común es a través de correos electrónicos maliciosos que contienen archivos adjuntos o enlaces que, al hacer clic, ejecutan la carga útil del ransomware. Estos correos electrónicos a menudo se hacen pasar por comunicaciones legítimas de fuentes confiables, lo que incita a los usuarios a abrirlos.

Sitios web maliciosos: visitar sitios web comprometidos o maliciosos puede exponer su sistema al ransomware. Estos sitios pueden explotar vulnerabilidades en su navegador o complementos para descargar y ejecutar ransomware sin su conocimiento.

Publicidad maliciosa: los anuncios maliciosos, conocidos como publicidad maliciosa, pueden generar cargas útiles de ransomware cuando se hace clic en ellos. Estos anuncios pueden aparecer en sitios web legítimos y aprovechar vulnerabilidades en las redes publicitarias para distribuir malware.

Explotación de vulnerabilidades: el ransomware puede explotar vulnerabilidades de software sin parches en su sistema operativo o aplicaciones instaladas. Los atacantes pueden utilizar kits de explotación, que son paquetes de código diseñados para automatizar la explotación de vulnerabilidades conocidas, para entregar cargas útiles de ransomware.

Ataques del Protocolo de escritorio remoto (RDP): los atacantes pueden aprovechar las credenciales débiles o predeterminadas en los servicios del Protocolo de escritorio remoto (RDP) para obtener acceso no autorizado a su sistema. Una vez dentro, pueden implementar ransomware y cifrar archivos.

Descargas no autorizadas: el ransomware también se puede distribuir mediante descargas no autorizadas, donde el malware se descarga y ejecuta automáticamente al visitar un sitio web comprometido o malicioso.