Seleccionar página

Rompiendo el molde: Deteniendo el código de un hacker ep. 19 – Una nueva variante de ransomware llamada ‘Retch’

Introducción

Retch es una nueva variante de ransomware descubierta por primera vez a mediados de agosto de 2023. Cifra los archivos de las máquinas comprometidas y deja dos notas de rescate pidiendo a las víctimas que paguen un rescate para descifrar los archivos.

Sistema de destino:

Sistemas operativos (SO) Windows(R)

Formas de propagación:

Archivos descargados, correos electrónicos de phishing que contienen adjuntos maliciosos, oculto dentro de un archivo troyano.

Ransomware

Cifra archivos de datos, imágenes, documentos de oficina, música y muchos otros tipos de archivos en el PC o servidor Windows de la víctima, excepto los archivos de los siguientes directorios:

«Windows»

«Archivos de programa»

«Archivos de programa (x86)»

El ransomware añade una extensión «.retch» a los archivos cifrados.

Genera un archivo de texto sin formato llamado «Message.txt» en cada carpeta, con los archivos que ya están cifrados. En el mismo archivo, el atacante pide a las víctimas que paguen Bitcoins para descifrar los archivos.

Además, el atacante descarga otro archivo en el Escritorio etiquetado como «CÓMO RECUPERAR SUS ARCHIVOS.txt» y pide a las víctimas que paguen Bitcoin por valor de 1.000 dólares para descifrar los archivos. Esta nota de rescate contiene una dirección de correo electrónico de contacto y la dirección del monedero Bitcoin del atacante.

Valor Hash del archivo Retch ya conocido:

c0abe65d207faf04c99b7c32fe08edaf,

db259549b6a6d2886360c2e30aae6e2c,

7775825b7abdaed99d1bc135393ed739,

3d5784635678e43f184a2a5263445383,

740931337c54ad5ee9e03b9af44aa316

Protéjase contra el ransomware Retch

CloudVista-Cyber Threat Intelligence de Hillstone ya ha publicado información sobre Retch Ransomware.

La firma del archivo Retch Ransomware ya ha sido incluida en la última base de datos de firmas antivirus. Los usuarios deben actualizar la base de datos de firmas antivirus a la versión 2.3.231102 o superior.

Figura 1. Hillstone CloudVista publicó información a los usuarios sobre este ransomware
Figura 2. Versión de la firma del antivirus Hillstone Network Firewall