Una nueva variante de Ransomware ya conocido como DJVU se ha viralizado y distribuido en forma de software crackeado; mientras que este patrón no es nuevo se han observado incidentes que involucran esta variante DJVU, esta añade la extensión .xaro a los archivos infectados y a su vez exige un rescate a cambio de un descifrador para recuperar la información, pero este a su vez despliega como malware adicional como los ladrones de información, haciéndolo más crítico.

¿Y bueno que es DJVU? Es una variante del Ransomware STOP que actúa apareciéndose en la escena disfrazado de servicios o apps legítimas, o a su vez tambien funciona como Smokeloader.

Cybereason documentó que en los últimos ataques de Xaro su método de actuar es propagándose como un archivo comprimido desde una fuente no confiable que se hace pasar por un software confiable y gratuito, pero al momento de abrir el archivo comprimido, se ejecuta como un instalador de un software de archivos PDF de nombre “Cute PDF”, que en realidad es un servicio de descarga de malware de pago, conocido como PrivateLoader y este actúa recopilando y extrayendo información confidencial para la doble extorsión y garantiza el éxito del ataque.

Xaro, además de generar un espacio para los ladrones de información (por ejemplo, Vidar), es capaz de cifrar archivos en el host infectado, antes de dejar una nota de rescate, incitando a la víctima a ponerse en contacto con el actor de la amenaza para pagar $ 980 dólares para obtener la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se comunica con el dentro de 72 horas.