Jron Ransomware

Els experts en ciberseguretat han descobert una soca de ransomware coneguda com Jron. Una investigació posterior ha revelat que Jron té la capacitat de xifrar dades i alterar els noms dels fitxers. Jron utilitza una tàctica d'afegir un identificador de víctima únic, l'adreça de correu electrònic "jerd@420blaze.it" i l'extensió ".jron" als noms de fitxer, donant lloc a fitxers com ara "1.png.id-9ECFA84E.[jerd@420blaze". .it].jron' i '2.doc.id-9ECFA84E.[jerd@420blaze.it].jron.' A més del xifratge i l'alteració de fitxers, Jron també presenta una finestra emergent i genera un fitxer de text, "info.txt", que conté demandes de rescat. S'ha confirmat que l'amenaça és una variant que pertany a la família Dharma Ransomware .

El ransomware Jron demana un rescat a Bitcoin

La nota de rescat és un missatge enviat pels ciberatacants per informar a les seves víctimes que els fitxers dels seus ordinadors s'han xifrat i que l'atacant demana un rescat per restaurar-los. La nota conté instruccions específiques sobre com contactar amb l'atacant per correu electrònic i la víctima ha d'incloure un identificador únic proporcionat al missatge per iniciar el procés de restauració.

Els actors de l'amenaça ofereixen un servei de desxifrat gratuït per a un màxim de tres fitxers, però hi ha limitacions en la mida del fitxer i el tipus de dades. Si la víctima vol desxifrar més fitxers, haurà de pagar un rescat. La nota de Jron Ransomware també inclou informació sobre com comprar Bitcoins, una criptomoneda que s'utilitza sovint en atacs de ransomware, per pagar el rescat.

Els atacants adverteixen a les víctimes que no intentin canviar el nom o desxifrar els fitxers amb programari de tercers perquè això podria provocar una pèrdua permanent de dades o un augment de les tarifes.

Les mesures preventives són el millor curs d'acció quan es tracta d'amenaces com el ransomware Jron

Els atacs de ransomware poden ser devastadors tant per a persones com per a organitzacions. Les millors mesures preventives per aturar o mitigar els danys causats pels atacs de ransomware impliquen adoptar un enfocament de seguretat de diverses capes. Aquest enfocament hauria d'incloure una combinació de mesures tècniques i no tècniques.

En primer lloc, les còpies de seguretat periòdiques de les dades importants s'han de fer i emmagatzemar en un lloc segur. Això garanteix que fins i tot si el ransomware xifra les dades originals, encara es poden restaurar des de la còpia de seguretat. Les còpies de seguretat s'han de provar regularment per garantir la seva integritat i disponibilitat.

En segon lloc, l'educació i la formació dels usuaris són essencials. Els empleats han d'estar entrenats per identificar i evitar correus electrònics de pesca, enllaços sospitosos i descàrregues. També se'ls ha d'ensenyar a evitar fer clic en enllaços sospitosos o descarregar fitxers adjunts de fonts desconegudes. S'ha de proporcionar formació periòdica de conscienciació sobre seguretat a tots els empleats per assegurar-se que estiguin al dia amb les últimes pràctiques recomanades de seguretat.

En tercer lloc, la seguretat de la xarxa ha de ser robusta, amb tallafocs, programari anti-malware i sistemes de detecció i prevenció d'intrusions (IDPS) per prevenir i detectar atacs. S'han d'aplicar actualitzacions i pegats de programari periòdics a tot el programari i sistemes operatius, i s'han d'implementar controls d'accés per evitar l'accés no autoritzat a dades sensibles.

En general, un enfocament de seguretat de diverses capes que inclou còpies de seguretat, educació i formació dels usuaris, seguretat de la xarxa i plans de resposta a incidents és la millor manera de prevenir o mitigar els danys causats pels atacs de ransomware.

El text complet de les demandes de Jron Ransomware que es mostra en una finestra emergent és:

'All your files have been encrypted!

Don't worry, you can return all your files!

If you want to restore them, write to the mail: ronrivest@airmail.cc (roneast@tuta.io) YOUR ID -

If you have not answered by mail within 12 hours, write to us by another mail:ronivest@tutanota.com

------------------------------------

qTOX chat download link:

hxxps://tox.chat/download.html

qTOX chat ID: 67BFA5C82CA08CDD82A2DC14C2A521EA 4FF73E387CF79121B60450808F81395E51807A493878

Free decryption as guarantee:

Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins:

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.

hxxps://localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:

hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text file created by the threat delivers the following message:

You want to return?

write email jerd@420blaze.it or roneast@tuta.io or ronrivest@airmail.cc or ronivest@tutanota.com/