SchrodingerCat Ransomware exige un rescate en BTC

Durante una inspección de rutina de archivos nuevos, nuestro equipo de investigación se topó con el ransomware SchrodingerCat, una variante de la familia de ransomware GlobeImposter. SchrodingerCat cifra los datos y exige un pago por descifrarlos.

Tras las pruebas, observamos que este ransomware cifra archivos y añade una extensión ".schrodingercat" a sus nombres. Por ejemplo, un archivo llamado "1.jpg" se convertiría en "1.jpg.schrodingercat" después del cifrado, y así sucesivamente.

Tras el cifrado, SchrodingerCat genera una nota de rescate denominada "how_to_back_files.html", que indica que está dirigida a organizaciones y no a usuarios individuales. La nota afirma que la red corporativa de la víctima se vio comprometida, lo que resultó en el cifrado de sus archivos almacenados.

Para recuperar el acceso a los datos cifrados, la víctima debe comprar un descifrador, con un precio de 0,15 BTC, lo que equivale aproximadamente a diez mil dólares en el momento de escribir este artículo. La nota desaconseja involucrar a intermediarios y alienta la negociación directa con los atacantes.

La negativa a pagar el rescate conlleva el riesgo de que los ciberdelincuentes subasten o filtren datos confidenciales robados de la red. Además, los delincuentes pueden llegar a los clientes de la víctima y ofrecerles vender su información comprometida.

Los autores de SchrodingerCat se consideran una empresa

El texto completo de la nota de rescate de SchrodingerCat contiene mucho texto y los piratas informáticos se refieren a sí mismos como "Nacugunder Corporation". El texto completo dice lo siguiente:

YOUR PERSONAL ID

ENGLISH
YOUR CORPORATE NETWORK LOCKED!

ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:
Pay for decrypt your network - 0.15 BTC

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

Bitcoin Wallet: 3Pvn*MLA5

Our contacts:
email: yourdatahelp@seznam.cz

ToxID: CA04B61C320C50D12A2C1B95B5062474B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

HOW IT WORKS.

If you need a decrypter or return information, please contact us directly ! The guarantee of successful deals is only a direct contact! Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.

What's problem with intermediaries?!

Very often intermediaries take money for themselves, it looks something like this: You turn to an intermediary for help, who promises you huge discounts and professional solutions to problems. Afterwards, intermediary contacts us to conduct a decrypt test, receives decrypted files, and then asks you to transfer money to a wallet not related to us. Having received money, intermediary assures client in every possible way that he did not receive decrypter or simply disappears with money. REMEMBER! - We only have wallet that is indicated in this html (first and last 4 characters) When transferring money to any other wallet, you are not transferring it to us.

deception using various Universal Decryptors for 30% of cost or at a fixed price has become very common. With beautiful pictures or enticing videos on YouTube, where they will show you how it works "Universal Software" - which in reality does not work, but is a Trojan for stealing bitcoin or another cryptolocker, before installing something like that - test it on an isolated network computer and you can see that it is useless. Globeimposter 2.0 namely, this is what you see on your network 🙂 can't be deciphered by anything! Besides original key… only one who created Build has key!- this is us. Contact real professionals like - hxxps://www.bleepingcomputer.com/forums/, or any large anti-virus companies - - they can tell you all horror of situation.

Considering above, we reserve right to request KYC confirmation. For example, send us a message from your corporate email on behalf of Company Director or IT department. We know their original emails - since we carefully study network before work 🙂 By contacting directly, you can count on a friendly conversation, a business-like approach… and possibly a good discount (discount depends on many circumstances, size of company,size of ransom, our checks of your accounting, phase of the Moon, etc.)
WHAT HAPPENS IF YOU DON'T PAY

In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.
-If there are no willing to buy, we simply publish everything that we have in the public resources.

© 2024 Nacugunder Corporation | All Rights Reserved.

¿Cómo se distribuye el ransomware como SchrodingerCat?

El ransomware como SchrodingerCat normalmente se distribuye a través de varios métodos, que incluyen:

Correos electrónicos de phishing: los ciberdelincuentes suelen distribuir ransomware a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Estos correos electrónicos pueden parecer legítimos y engañar a los usuarios para que abran el archivo adjunto o hagan clic en el enlace, lo que luego instala el ransomware en el sistema de la víctima.

Publicidad maliciosa: los anuncios maliciosos (publicidad maliciosa) en sitios web pueden redirigir a los usuarios a sitios que alojan kits de explotación que distribuyen ransomware. Estos anuncios pueden aparecer en sitios web legítimos y explotar vulnerabilidades en el navegador o complementos del usuario para instalar el ransomware de forma silenciosa.

Kits de explotación: los kits de explotación son paquetes de código malicioso diseñados para aprovechar las vulnerabilidades del software. Los ciberdelincuentes utilizan kits de explotación para infectar a los usuarios que visitan sitios web comprometidos, aprovechando las vulnerabilidades de sus navegadores o complementos para entregar y ejecutar ransomware en sus sistemas.

Ataques de protocolo de escritorio remoto (RDP): los atacantes pueden explotar credenciales débiles o predeterminadas para servicios de escritorio remoto, como RDP, para obtener acceso no autorizado a un sistema. Una vez dentro, pueden implementar ransomware directamente en la red de la víctima.

Descargas no autorizadas: las descargas no autorizadas se producen cuando el ransomware se descarga e instala automáticamente en el sistema de un usuario sin su consentimiento mientras visita un sitio web comprometido o malicioso. Esto a menudo explota vulnerabilidades en el navegador o los complementos del usuario.

Software o archivos infectados: los ciberdelincuentes pueden distribuir ransomware disfrazándolo de software o archivos legítimos disponibles para descargar de Internet. Los usuarios desprevenidos descargan y ejecutan estos archivos, instalando sin darse cuenta el ransomware en sus sistemas.

USB y medios extraíbles: el ransomware puede propagarse a través de unidades USB infectadas u otros medios extraíbles. Cuando los usuarios insertan una unidad USB infectada en su computadora, el ransomware puede ejecutarse automáticamente e infectar el sistema.

Para protegerse contra los ataques de ransomware, los usuarios deben practicar una buena higiene en materia de ciberseguridad, incluida la actualización periódica del software, el uso de software antivirus confiable, tener cuidado con los archivos adjuntos y enlaces de correo electrónico y realizar copias de seguridad periódicas de los datos importantes.