En los últimos dos días ha habido un aumento en la actividad de una variedad relativamente desconocida de ransomware llamada SynAck, según  las víctimas que buscaron asistencia en diferentes foros de soporte de ransomware y de envíos al servicio de ID-Ransomware. Esta variedad particular de ransomware se conoce como SynAck o Syn Ack y fue descubierta por primera vez el 3 de agosto.

SynAck

La actividad del ransomware SynAck, no obstante, nunca fue demasiado alarmante. Eso sí, afectó a usuarios cada día desde hace un mes. Sin embargo en los últimos dos días la actividad ha aumentado notablemente. Casi 100 víctimas han utilizado el servicio de ID-Ransomware para detectar qué ransomware había infectado su ordenador y descubrir que se trataba de SynAck.

Según muestras analizadas por los expertos, existen tres versiones distintas del ransomware SynAck, basadas en tres notas de rescate que dejaron en los ordenadores afectados.

Notas de rescate

El ransomware no utiliza un portal de pago alojado en la Dark Web, pero pide a los usuarios que se pongan en contacto con su autor por correo electrónico o un ID de BitMessage. A continuación se muestran las direcciones de correo electrónico y las identificaciones de BitMessage detectadas en las tres notas de rescate diferentes:

Versión 1: [email protected], [email protected], [email protected], [email protected], [email protected]. BitMessage: BM-2cTp9eosgjWs8SV14kYCDzPN3HJkwYk1LQ

Versión 2: [email protected]. BitMessage: BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj

Versión 3: [email protected]. BitMessage: BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k

El ransomware no utiliza un fondo de escritorio personalizado para señalar su presencia, y la única manera de descubrir que SynAck ha infectado el ordenador es por las notas de rescate lanzadas en el escritorio del usuario, denominadas en el formato: RESTORE_INFO- [id] .txt. Por ejemplo: RESTORE_INFO-4ABFA0EF.txt

Además, SynAck también agrega su propia extensión al final de todos los archivos cifrados. Este formato de extensiones de archivo tiene diez caracteres alfa aleatorios para cada archivo. Por ejemplo: test.jpg.XbMiJQiuoh.

Los expertos creen que el grupo detrás de SynAck utiliza ataques RDP de fuerza bruta para acceder a ordenadores remotos y descargar e instalar manualmente el ransomware. Las víctimas que informaron acerca de las infecciones de SynAck reportaron infecciones en equipos Windows Server y redes empresariales.

Descifrado

Un usuario que contactó con el autor de SynAck compartió la respuesta de correo electrónico que recibió de los operadores del ransomware:

El precio del descifrado es 2100 dólares.

Aceptamos dinero sólo en bitcoins ya que esta es la moneda más anónima del mundo.

Para comprar bitcoins, recomendamos utilizar uno de estos servicios: https: //www.bestchange.com or localbitcoins.com

Para crear una cartera, esto: blockchain.info

Transferencia de fondos a esta dirección: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj

Después del pago, envíenos un enlace a la transacción o la dirección de su cartera. Después de recibir 3 confirmaciones le enviaremos un descifrador.

La cartera de Bitcoin que aparece en el correo electrónico tiene 98 Bitcoin en fondos. Esta cantidad son más de 425.000 dólares en estos momentos. Los fondos a menudo entran y salen de esta cuenta, la cual puede estar asociada con una posible operación de RaaS (Ransomware-as-a-Service), donde otro grupo coge parte de esta cantidad y luego reenvía el resto de los fondos a las personas que alquilan y distribuyen la ransomware.