Este virus no tiene suficiente con cifrar tus archivos: también te roba la cuenta de Discord

Este virus no tiene suficiente con cifrar tus archivos: también te roba la cuenta de Discord

David Soriano

AXLocker es una nueva cepa de ransomware descubierta a mediados de noviembre de 2022. Tiene la peculiaridad de que, al infectarte, cifra los archivos de las víctimas y exige el pago de un rescate, pero además roba las cuentas de Discord de los usuarios infectados. Un virus 2×1.

Este peligroso virus informático es muy dañino ya no solamente te puede dejar fuera de juego archivos personales necesarios, sino que puede robar tu cuenta de Discord.

El virus AXLocker primero te cifra los archivos

El peligro potencial de AXLocker es doble. En primer lugar, su peligro potencial es que en los equipos infectados cifra datos personales como documentos, fotos, bases de datos, etc. y exige a las víctimas que paguen dinero por su descifrado. A diferencia de otras infecciones de ransomware, que normalmente cambian el nombre de los datos cifrados generalmente agregando nuevas extensiones, AXLocker deja los archivos con su apariencia original.

Nota rescate AXLocker

AXLocker cifra los archivos en el sistema infectado haciéndolos ilegibles y por tanto no ejecutables, para luego mostrar un aviso de demanda de rescate en una ventana emergente. Cuando se ejecuta, el ransomware apuntará a ciertas extensiones de archivo y excluirá carpetas específicas, atacando a los archivos con más posibilidades de ser abiertos y por tanto urgiendo el pago de ese rescate para el descifrado y la vuelta a la normalidad.

Al encriptar un archivo, AXLocker usa el algoritmo AES, por lo que aparecen con sus nombres normales y más tarde envía una identificación de víctima, detalles del sistema, datos almacenados en los navegadores y tokens de Discord al canal de Discord de los actores de amenazas mediante una URL de webhook. Las víctimas tienen 48 horas para contactar a los atacantes con su ID de víctima, pero la cantidad del rescate no se menciona en la nota.

En caso de infección, puedes utilizar descifradores automáticos como la herramienta de Kaspersky llamada Rakhni Decryptor, que puede descifrar archivos AXLocker. Dr. Web ofrece un servicio de descifrado gratuito para los propietarios de sus productos: Dr.Web Space Security o Dr.Web Enterprise Security Suite. Otros usuarios pueden solicitar ayuda para descifrar AXLocker archivos cargando muestras a Servicio de descifrado de Dr. Web Ransomware.

También te roba la cuenta de Discord

Precisamente en Discord es donde encontramos la segunda vulnerabilidad que aprovecha este ransomware. Dado que Discord se ha convertido en la comunidad elegida por las plataformas NFT y los grupos de criptomonedas, robar un token de moderador u otro miembro verificado de la comunidad podría permitir que los actores de amenazas realicen estafas y roben fondos.

Discord antibulos

Los ciberdelincuentes roban los tokens de Discord explorando los siguientes directorios:

  • DiscordLocal Storageleveldb
  • discordcanaryLocal Storageleveldb
  • discordptbleveldb
  • Opera SoftwareOpera StableLocal Storageleveldb
  • GoogleChromeUser DataDefaultLocal Storageleveldb
  • BraveSoftwareBrave-BrowserUser DataDefaultLocal Storageleveldb
  • YandexYandexBrowserUser DataDefaultLocal Storageleveldb

Si detectas que AxLocker cifró archivos de tu equipo, debes cambiar inmediatamente tu contraseña de Discord, ya que invalidará el token robado por el ransomware.