RansomExx encripta los archivos y modifica sus nombres añadiéndoles una determinada extensión. La extensión que agrega depende del nombre de destino (por ejemplo, el nombre de la organización). Se sabe que los ciberdelincuentes utilizaron este ransomware para atacar al Departamento de Transporte de Texas (“Texas Department of Transportation”). En ese caso, los archivos encriptados tenían la extensión “.txd0t” adjunta a sus nombres de archivo (por ejemplo, un archivo llamado “1.jpg” se renombró a “1.jpg.txd0t”, “2.jpg” se cambió a “2.jpg.txd0t”, etc.). Además, RansomExx crea una nota de rescate (un archivo de texto) en todas las carpetas que contienen archivos encriptados, su nombre también depende del nombre del objetivo.
Se sabe que los ciberdelincuentes utilizan RansomExx para atacar principalmente a empresas. Existen variantes de RansomExx que son capaces de encriptar datos no solo en Windows sino también en sistemas operativos Linux. Las víctimas del ataque RansomExx deben escribir un correo electrónico a la dirección proporcionada, por ejemplo, txdot911@protonmail.com (tanto la extensión del archivo encriptado como la dirección de correo electrónico para contactar a los atacantes hacen uso del nombre del objetivo) y esperar más instrucciones. Además, se informa a las víctimas que el precio de un desencriptado de datos/tamaño de un rescate depende de qué tan rápido se pondrán en contacto con los desarrolladores de ransomware. La investigación muestra que durante el encriptado de datos en sistemas Linux, RansomExx crea una clave AES de 256 bits para encriptar archivos y encripta esa clave utilizando una clave pública RSA-4096.
No existen herramientas de terceros que puedan desencriptar archivos encriptados por una u otra variante del ransomware RansomExx, los atacantes son los únicos que pueden proporcionar la herramienta de desencriptado adecuada. Sin embargo, pagarles un rescate no garantiza que enviarán una herramienta que supuestamente desencripte los archivos. Por lo tanto, se recomienda a las víctimas de ransomware que recuperen archivos restaurándolos desde una copia de seguridad. Además, si el ransomware instalado no ha encriptado todos los archivos almacenados en la computadora infectada, entonces se puede evitar que el ransomware cause más encriptados desinstalándolo del sistema operativo. Sin embargo, vale la pena mencionar que los archivos ya encriptados permanecen encriptados incluso después de la desinstalación del ransomware.
En conclusión, el ransomware es un tipo de malware que encripta archivos y muestra y/o crea una nota de rescate. Se monetiza obligando a las víctimas a comprar un software y/o una clave de desencriptado. Por lo general, las únicas variables principales son el precio de un algoritmo de desencriptado y criptográfico (simétrico o asimétrico) que el ransomware utiliza para el encriptado de datos. En algunos casos, las víctimas pueden desencriptar archivos sin pagar ninguna herramienta de desencriptado, sin embargo (solo cuando el ransomware instalado no está terminado, tiene algunos errores, fallas), sin embargo, no es un caso común. Por eso es importante tener siempre una copia de seguridad de los archivos y mantenerlos en un servidor remoto o en un dispositivo de almacenamiento desconectado. Más ejemplos de ransomware son Hello (WickrMe), JJLF y 14x.
