En los últimos tiempos se ha vuelto muy común que nos encontremos con nuevos ransomware. En ocasiones se trata del mismo, pero con una nueva variante. Siempre con el objetivo de atacar a la víctima para hacerse con el control de su equipo y archivos y poder sacar dinero a cambio. Hoy hablamos de una nueva versión del ransomware CryptoMix que está añadiendo la extensión .SHARP a los archivos que cifra. Ya sabemos que esta familia de ransomware suele lanzar una nueva versión casi cada semana. Sorprende, eso sí, que para esta haya tardado tres.
Shark, la nueva variante de CryptoMix
Cada variante trae novedades para que sea más complicado hacer frente al malware. Recientemente hicimos un artículo donde hablábamos de la razón por la que el ransomware Locky volvía cada cierto tiempo. Detrás de esto estaba el perfeccionamiento.
En esta nueva variante los métodos de cifrado han permanecido iguales. Pero ha habido algunas diferencias en otros aspectos. La nota de rescate se sigue llamando _HELP_INSTRUCTION.TXT, pero ahora utiliza los mensajes de correo electrónico shark01@msgden.com, shark02@techmail.info o shark003@protonmail.com para que la víctima contacte para recibir la información de pago.
El siguiente cambio importante es la extensión que introducen a los archivos cifrados. Con esta versión, cuando un archivo es cifrado por el ransomware, se modificará el nombre del archivo para luego añadir la extensión .SHARK al nombre del mismo. Por ejemplo, un archivo de prueba cifrado por esta variante tiene un nombre de archivo cifrado de 0D0A516824060636C21EC8BC280FEA12.SHARK.