DoppelPaymer es un malware de tipo ransomware diseñado para evitar que las víctimas accedan a sus archivos cifrándolos. Para poder usar sus archivos nuevamente, las víctimas se ven obligadas a pagar un rescate a los ciberdelincuentes. La investigación muestra que los ciberdelincuentes usan DoppelPaymer en ataques dirigidos. Significa que se dirigen a empresas y/o industrias específicas. Muy a menudo, los ciberdelincuentes que tienen un objetivo específico buscan infiltrarse (infectar) toda una red, es decir, las computadoras utilizadas en una empresa en particular. Este ransomware agrega la extensión “.locked” a un nombre de archivo de cada archivo cifrado, por ejemplo, cambia “1.jpg” a “1.jpg.locked”, y así sucesivamente. Cada archivo cifrado obtiene su propia nota de rescate (archivo .txt). Por ejemplo, una nota para “1.jpg.locked” es “1.jpg.readme2unlock.txt”, y así sucesivamente.
Todas las notas de rescate contienen texto idéntico. Como se indica en ellas, las víctimas no deben apagar o reiniciar sus computadoras, renombrar o eliminar archivos cifrados (y notas de rescate), ni intentar restaurar archivos usando ningún software. Según los ciberdelincuentes, tales acciones podrían conducir a la pérdida permanente de datos. Para obtener instrucciones sobre cómo descifrar los datos, las víctimas deben instalar el navegador Tor y abrir el enlace que se proporciona en cada nota de rescate creada. Se menciona que las víctimas tienen 7 días para usar el enlace, después de lo cual dejará de ser válido. Además, se afirma que cuanto más rápido se contacten las víctimas con los desarrolladores de DoppelPaymer, menor será el precio de un descifrado. El enlace antes mencionado abre un sitio web Tor donde las víctimas pueden contactar a los delincuentes cibernéticos a través de un chat en línea. A continuación se proporciona una captura de pantalla de un sitio web de Tor que se generó cuando los ciberdelincuentes atacaron a la empresa Ohio Gratings Inc. Por lo general, el malware como el ransomware DoppelPaymer encripta archivos con algoritmos fuertes y es imposible para las víctimas descifrar los datos sin las herramientas que solo tienen los desarrolladores de un ransomware en particular. Desafortunadamente, incluso si los ciberdelincuentes tienen esas herramientas, tienden a no enviarlas. Simplemente dicho, con frecuencia las víctimas que pagan un rescate son estafadas. En la mayoría de los casos, la única forma (y gratuita) de recuperar archivos sin usar herramientas que solo se pueden comprar a los ciberdelincuentes es restaurarlos desde una copia de seguridad que no estaba encriptada. Además, los archivos cifrados permanecen cifrados incluso si las víctimas desinstalan el ransomware del sistema. Desinstalar dicho malware solo evita que provoque más cifrados.
En la mayoría de los casos, está diseñado para cifrar datos y crear o mostrar una nota de rescate con instrucciones sobre cómo pagar una herramienta y/o clave de descifrado. Dos diferencias principales (y más comunes) son el tamaño de un rescate y el algoritmo criptográfico (simétrico o asimétrico) que el ransomware usa para cifrar datos. Desafortunadamente, la mayoría de estos programas causan cifrados fuertes y es imposible descifrar archivos sin herramientas que solo los desarrolladores de un ransomware en particular pueden proporcionar. Es posible recuperar archivos sin su ayuda solo si un programa contiene errores, fallas, etc. Por eso es importante tener una copia de seguridad de los datos creada y mantenerla en un servidor remoto o dispositivo de almacenamiento desconectado.
Recomendamos encarecidamente no abrir archivos adjuntos y/o web que se incluyen en correos electrónicos irrelevantes, especialmente si se envían desde direcciones sospechosas y desconocidas. Además, el software no debe descargarse utilizando algunos descargadores de terceros, páginas no oficiales y otras fuentes que se mencionaron en el párrafo anterior. La forma más segura de descargarlo es usar sitios web oficiales y enlaces de descarga directa para eso. Además, el software instalado siempre debe estar actualizado, sin embargo, debe actualizarse correctamente: utilizando herramientas y/o funciones proporcionadas (diseñadas) por desarrolladores de software oficiales. Las herramientas de terceros nunca deben usarse. Lo mismo se aplica a las herramientas de activación de software (‘cracking’), además, no es legal usarlas. Y, por último, le recomendamos que escanee regularmente el sistema operativo con un antivirus o software antispyware de buena reputación y que lo mantenga actualizado. Si su computadora ya está infectada con DoppelPaymer, le recomendamos ejecutar un análisis con Combo Cleaner para eliminar automáticamente este ransomware.
