Conti es un ransomware que se ha observado desde 2020. [1] [2] Se sabe que todas las versiones de Microsoft Windows están afectadas. [1]
El software utiliza su propia implementación de AES-256 que utiliza hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de ransomware. [1] El método de entrega no está claro. [1]
La banda detrás de Conti ha operado un sitio desde el cual puede filtrar documentos copiados por el ransomware desde 2020. [3] La misma banda ha operado el ransomware Ryuk . [3] El grupo se conoce como Wizard Spider y tiene su sede en San Petersburgo , Rusia . [4]
Una vez en un sistema, intentará eliminar las instantáneas de volumen . [1] Intentará terminar una serie de servicios utilizando Restart Manager para asegurarse de que puede cifrar los archivos que utilizan. [1] Deshabilitará el monitor en tiempo real y desinstalará la aplicación Windows Defender. El comportamiento predeterminado es cifrar todos los archivos en unidades de bloque de mensajes de servidor locales y en red , ignorando los archivos con extensiones DLL , .exe , .sys y .lnk . [1] También puede apuntar a unidades específicas, así como a direcciones IP individuales. [1] [2]
Según NHS Digital, la única forma garantizada de recuperación es restaurar todos los archivos afectados desde su copia de seguridad más reciente. [1]
VMware Carbon Black ha publicado un informe técnico sobre el ransomware. [2] [5]