Los desarrolladores de Netwalker se dirigen a las personas a través de la campaña de estafa de coronavirus

Debido a la pandemia en curso, los estafadores han comenzado activamente el brote de CORONA como tema de su campaña de phishing y malware. Se ha informado que una de esas campañas lidera la peligrosa instalación de Netwalker Ransomware en el dispositivo de los destinatarios.

Si bien el correo electrónico real no nos fue enviado, MalwareHunterTeam logró encontrar un archivo adjunto que conduce a la instalación de Netwalker al final. Toll Group y el champaign Urbana Public Health District en Illionis son los dos que, según los informes, fueron víctimas de los ataques de esta amenaza.

La nueva campaña de phishing de Netwalker o Mailto está utilizando un archivo adjunto llamado CORONAVIRUS_COVID-19.vbs que contiene un código ejecutable y ofuscado del Ransomware para extraerlo e iniciarlo en el dispositivo.

Cuando se ejecuta el script, el archivo ejecutable se guarda en el archivo% Temp% \ qeSw.exe e inicia el proceso de cifrado en el dispositivo.

Un investigador de SentinelLabs llamado Vitali Kremez dijo que esta versión del ransomware finaliza el cliente de protección de punto final Fortinet. Cuando se le preguntó por qué lo hace el ransowmare, el kremez dijo que podría ser para evitar la detección.

“Supongo que podría deberse a que ya han deshabilitado la funcionalidad antivirus directamente desde el panel de administración del cliente; sin embargo, no quieren activar una alarma al dar de baja a los clientes”, dijo kremez.

Una vez completado el cifrado, los usuarios encuentran una nota de rescate denominada extensión –Readme.txt que contiene las instrucciones sobre cómo acceder al sitio de pago Tor de ransomware para pagar la demanda de rescate.

Por el momento, no se conoce ninguna debilidad en el ransomware, lo que significa que no hay una herramienta de descifrado oficial disponible para el ransomware Netwalker. Entonces, si se infectó con este malware, debe intentar recuperar los archivos utilizando la copia de seguridad existente o volver a crearlo.