Según lo informado por BleepingComputer, el investigador de seguridad “nao_sec” descubrió un sitio web malicioso que comparte ejemplos de una nueva variante del ransomware Nemty. Los actores usan la aplicación PayPal como cebo y atraen a víctimas inocentes para descargarlas de sus canales y hasta el 5% de sus devoluciones. El sitio fue diseñado para parecerse exactamente al portal oficial de PayPal, de modo que los visitantes que no entienden la URL deben creer que han llegado a un canal de venta de software legítimo.
Sitio web falso de Paypal -> NEMTY Ransomware (CC: @malware_traffic, @jeromesegura, @VK_Intel, @BleepinComputer) https://t.co/YC7pVMSFwm pic.twitter.com/yzakaFEzi0
– nao_sec (@nao_sec) 7. septiembre 2019
El archivo malicioso descargable se llama “cashback.exe”. La mayoría de los navegadores advierten al usuario que el archivo que se está descargando se ve mal. Si el usuario responde en el símbolo del sistema que confía en la fuente, recibirá una copia del ransomware Nemty en su sistema. Según los datos de VirusTotal, el ejecutable malicioso es ignorado por 32 de los 68 motores antivirus probados, por lo que la probabilidad de que Nemty anide en el sistema host y todos los archivos cifrados es de menos del 50% si la víctima tiene un antivirus en el primer caso. La solución usa el lugar.
La variante Nemty utilizada en esta campaña tiene la versión número 1.4, y la cantidad de dinero reclamada por los actores es equivalente a un equivalente de $ 1,000 en Bitcoin. Esta es la cantidad estándar que solicitan los delincuentes que usan Nemty, mientras que el período de pago otorgado a las víctimas es de 48 horas, también una cantidad estándar. Los países excluidos de la actividad de infección son Bielorrusia, Rusia, Kazajstán, Ucrania y Tayikistán. Si vive en uno de estos países o el idioma del sistema está configurado en los idiomas apropiados, está a salvo de esta campaña, pero no espera un retorno del 5% de sus gastos.
Si está infectado con una variante de Nemty, verá que todos sus archivos tienen la extensión “.nemty”. Si ese es el caso, no pague a los actores porque no tiene garantía de que recuperará sus archivos. Spy Hunter 5, Malwarebytes y Reimage pueden eliminar todos los rastros de Nemty de su sistema. Por lo tanto, elimínelos antes de comenzar a restaurar las copias de seguridad. Nemty es muy persistente y si no elimina todos los componentes, sus archivos se cifrarán nuevamente. Si desea recibir la aplicación oficial de PayPal, solo puede encontrarla en “paypal.com” o en las tiendas de aplicaciones oficiales de su plataforma.
¿Utiliza la aplicación PayPal o simplemente visita el sitio para todo? Háganos saber en los comentarios a continuación o en nuestras redes sociales Facebook y Twitter.