{
	"id": "ecc55d18-3b2b-40e2-a220-b6e8e3f13519",
	"created_at": "2026-04-06T00:19:02.031981Z",
	"updated_at": "2026-04-10T13:11:19.481526Z",
	"deleted_at": null,
	"sha1_hash": "3e25ac74695486a5745906077085a4caf0a337d5",
	"title": "Ransomware NetWalker: análisis y medidas preventivas",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 73096,
	"plain_text": "Ransomware NetWalker: análisis y medidas preventivas\r\nArchived: 2026-04-02 11:21:45 UTC\r\nComo ya se expuso en otros artículos sobre el ransomware, estos ciberataques han alcanzado el primer puesto en\r\nimportancia para usuarios y compañías, no tanto por el número de ataques en sí (en algunos casos sí pueden\r\nresultar masivos), sino por el gran beneficio económico que se obtiene con esta práctica, causando la aparición de\r\nmuchos grupos especializados en su desarrollo, así como por el daño reputacional que supone para la víctima.\r\nEl objetivo de este post es aportar información sobre el ransomware NetWalker, también denominado Mailto o\r\nKoko, que se ha utilizado en una reciente campaña de malware distribuida bajo correos electrónicos que simulan\r\naportar información sobre el estado de la actual situación de alerta sanitaria generada por el COVID-19.\r\nModelo de negocio RaaS\r\nAntes de entrar en detalles técnicos, conviene entender el modelo negocio de los actores responsables de\r\nNetWalker. La amenaza comienza a operar en septiembre de 2019, pero no es hasta el 19 de marzo de 2020\r\ncuando el usuario con el alias Bugatti abría la oportunidad a otros cibercriminales de unirse al grupo como parte\r\nde un modelo de negocio RaaS (Ransomware as a Service):\r\nCondiciones para unirse a NetWalker\r\n- Figura 1: Condiciones para unirse a NetWalker. Fuente: El Mundo -\r\nSu correspondiente traducción al castellano es:\r\n[SOCIO] Netwalker Ransomware\r\nAbrimos un conjunto de anuncios para procesar redes y spam.\r\nInteresados en personas que trabajen por la calidad, no por la cantidad.\r\nDamos preferencia a aquellos que puedan trabajar con grandes redes y tener su propio material.\r\nReclutamos un número limitado de socios y dejamos de reclutar hasta que queden vacantes.\r\nLe ofrecemos un ransomware rápido y flexible, un panel de administración en TOR y servicio automátic\r\nAcceso al servicio mediante archivos de cifrado desde AV.\r\nPara anuncios verificados, entregamos material preparado (IP cuenta del dominio admin acceso a NAS\r\nEl ransomware ha estado funcionando desde septiembre de 2019 y ha demostrado ser bueno, no se puede d\r\nRecibirá toda la información detallada sobre el ransomware y las condiciones de trabajo después de c\r\nFormulario de solicitud:\r\n1) ¿En qué dirección estás trabajando?\r\n2) Experiencia. ¿Con qué programas de afiliación ya trabajó y cuál fue su beneficio?\r\n3) ¿Cuánto material tiene y cuándo está listo para comenzar, cuánto planea procesar el material?\r\nEn un artículo del 18 de marzo en el portal BleepingComputer, se preguntaba a los operadores responsables de\r\nNetWalker si atacarían hospitales, y ellos respondieron lo siguiente, dejando claro que no son su objetivo:\r\nhttps://www.incibe-cert.es/blog/ransomware-netwalker-analisis-y-medidas-preventivas\r\nPage 1 of 4\n\n\"Hospitals and medical facilities? Do you think someone has a goal to attack hospitals? We don't have\r\nAnálisis de archivos asociados\r\nLa muestra de ransomware NetWalker analizada ha sido distribuida utilizando un dropper desarrollado en Visual\r\nBasic Script (VBS), que se incluye como fichero adjunto en la campaña de spam. Es un ransomware de cifrado\r\n(encrypting ransomware), es decir, impide el acceso a los datos del usuario cifrando los archivos del dispositivo,\r\naunque se mantiene el acceso al mismo.\r\nEl 18 de marzo de este año se analizó, por primera vez, el archivo CORONAVIRUS_COVID-19.vbs en la\r\nherramienta VirusTotal y, a fecha de 31 de marzo, 32 de los 59 motores antivirus que gestiona VT han clasificado\r\nla muestra como maliciosa, tal y como se aprecia en la siguiente imagen:\r\nAnálisis de VirusTotal para CORONAVIRUS_COVID-19.vbs\r\n- Figura 2: Análisis de VirusTotal para CORONAVIRUS_COVID-19.vbs -\r\nEn la Figura 2, se pueden identificar los distintos códigos hash (MD5, SHA-1 y SHA-256) asociados al dropper.\r\nEste archivo dropper contiene, a su vez, un binario embebido, ejecutable para sistemas Windows, que tiene varios\r\nalias (WTVConverter.exe, qesw.exe y qeSw.exe) y cuyo análisis para VirusTotal puede verse a continuación:\r\nAnálisis de VirusTotal para qeSw.exe\r\n- Figura 3: Análisis de VirusTotal para qeSw.exe -\r\nLa ejecución del ransomware NetWalker se divide en cuatro fases:\r\n1. El código malicioso importa las funciones de las librerías de Windows que usará durante el resto de la\r\nejecución.\r\n2. El fichero de configuración del ransomware, donde se encuentran diversos parámetros relativos al cifrado\r\ny rescate, se extrae de los recursos del ejecutable.\r\n3. Inicialización de variables, tales como el identificador del usuario afectado.\r\n4. Procedimiento principal donde se llevaría a cabo el proceso de cifrado de archivos.\r\nAntes de proceder al cifrado, se eliminarán las shadow copies (instantáneas de volumen) ejecutando vssadmin.exe\r\nen una ventana oculta, con el objetivo de impedir que se puedan recuperar los ficheros cifrados desde la copia de\r\nseguridad generada por el servicio VSS (Volume Shadow Copy):\r\nvssadmin.exe delete shadows /all /quiet\r\nEl proceso de cifrado genera un identificador único de 6 caracteres (ID del usuario afectado) que utiliza como\r\nextensión para los archivos cifrados y como parte del nombre de las notas de rescate:\r\nhttps://www.incibe-cert.es/blog/ransomware-netwalker-analisis-y-medidas-preventivas\r\nPage 2 of 4\n\nNombre original: file93.docx\r\nNombre tras el cifrado: file93.docx.46X19p\r\nNota de rescate generada en la misma ruta \"46X19p-readme.txt\"\r\nInstrucciones de rescate\r\nCuando un equipo se ve afectado por el ransomware NetWalker, las instrucciones para descifrar los ficheros se\r\nmuestran a continuación:\r\nNota de rescate de NetWalker\r\n- Figura 4: Nota de rescate de NetWalker. Fuente: PCrisk -\r\nEn esta nota se pide la instalación de Tor Browser, se facilita el sitio web accesible desde la red TOR, así como el\r\ncódigo personal de la víctima de NetWalker, que debe introducir en la siguiente web:\r\nPortal de pago accesible desde la red TOR\r\n- Figura 5: Portal de pago accesible desde la red TOR. Fuente: El Mundo -\r\nUna vez que se ha identificado el usuario, se indica que el precio inicial del rescate comienza en 1.000 dólares,\r\npero que se duplicará esa cantidad de no realizarse el pago antes de una semana. La dirección que se proporciona\r\npara el pago es única para cada infección.\r\nPersistencia\r\nAnalizando el modus operandi de NetWalker, y dada la naturaleza de su código, no intenta establecer persistencia\r\nen el sistema afectado, tampoco realiza propagación lateral, ni se aprecia tráfico de red hacia otras máquinas.\r\nAdemás, el ejecutable responsable del cifrado se autoelimina tras finalizar su ejecución.\r\nRecuperación\r\nLa primera y principal recomendación que se realiza en los casos de ransomware es no pagar nunca el rescate\r\nsolicitado por los ciberdelincuentes, ya que esto no garantiza que respondan una vez se realice el pago, para\r\ndevolver la normalidad al equipo infectado mediante la entrega de la clave de descifrado.\r\nDesafortunadamente, en este momento no se conoce ninguna solución de descifrado de este ransomware, por lo\r\nque deben considerarse las siguientes medidas de carácter general:\r\nAislar el equipo de la red para evitar que el ciberataque se propague a otros dispositivos, teniendo en\r\ncuenta discos duros, unidades de red o servicios en la nube que estuvieran conectados.\r\nClonar de manera completa el disco duro para conservar el dispositivo original y, de esta manera, intentar\r\nrecuperar los datos sobre el disco clonado. Si no existe solución actualmente, como es en el caso de\r\nNetWalker, es posible que se desarrolle en el futuro, por lo que se podrían recuperar los ficheros cifrados.\r\nDesinfectar el disco clonado para intentar recuperar los datos posteriormente, utilizando una herramienta\r\nadecuada.\r\nhttps://www.incibe-cert.es/blog/ransomware-netwalker-analisis-y-medidas-preventivas\r\nPage 3 of 4\n\nPor último, una vez confirmado que el malware ha sido eliminado del ordenador, se recomienda cambiar\r\ntodas las contraseñas que se hayan usado en el equipo afectado.\r\nMedidas preventivas y de protección\r\nDentro de las medidas de prevención a adoptar, es muy importante puntualizar lo siguiente:\r\nNo descargar archivos sospechosos o de un remitente desconocido o no habitual.\r\nRealizar backups periódicamente para que se puedan restablecer los sistemas rápidamente, con la menor\r\npérdida de información y el menor impacto en la operativa posibles.\r\nMejorar la segmentación de la red para evitar una propagación masiva de la amenaza.\r\nRevisar y reforzar, en caso de que sea necesario, las políticas de seguridad de la organización.\r\nNunca se debe pagar el rescate, se debe comunicar el incidente a través del CSIRT (Computer Security\r\nIncident Response Team) de referencia.\r\nConclusiones\r\nNetWalker es un ransomware relativamente reciente (septiembre 2019) que ha evolucionado en los últimos meses,\r\naunque hasta el momento no hay evidencias de víctimas afectadas o que sufrieran las consecuencias.\r\nTambién cabe destacar que, aunque se ha intentado aprovechar la situación de alarma generada por el COVID-19,\r\nlos propios creadores del ransomware han manifestado claramente que los hospitales no son el objetivo.\r\nSource: https://www.incibe-cert.es/blog/ransomware-netwalker-analisis-y-medidas-preventivas\r\nhttps://www.incibe-cert.es/blog/ransomware-netwalker-analisis-y-medidas-preventivas\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.incibe-cert.es/blog/ransomware-netwalker-analisis-y-medidas-preventivas"
	],
	"report_names": [
		"ransomware-netwalker-analisis-y-medidas-preventivas"
	],
	"threat_actors": [],
	"ts_created_at": 1775434742,
	"ts_updated_at": 1775826679,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3e25ac74695486a5745906077085a4caf0a337d5.pdf",
		"text": "https://archive.orkl.eu/3e25ac74695486a5745906077085a4caf0a337d5.txt",
		"img": "https://archive.orkl.eu/3e25ac74695486a5745906077085a4caf0a337d5.jpg"
	}
}