miércoles, 24 de enero de 2018

Rapid, el nuevo ransomware que no le basta con cifrar una vez el equipo


El ransomware es una de las amenazas que más ha crecido en los últimos tiempos. Sin duda es uno de los mayores problemas de seguridad a los que nos enfrentamos tanto usuarios como empresas. Hoy hablamos de Rapid, una nueva variedad que se está distribuyendo. Es uno más de los muchos que existen. Sin embargo cuenta con una peculiaridad: se mantiene activo después de cifrar los datos de un ordenador. Esto, aunque no es exclusivo suyo, no es lo habitual en este tipo de malware.

Rapid, otro ransomware más


De momento se desconoce exactamente cómo se distribuye Rapid. Lo que sí se sabe es que ha afectado a muchas personas desde este mes de enero. Según podemos ver en las estadísticas ofrecidas por ID-Ransomware, el primer caso del que se tiene constancia fue el 3 de enero. Desde entonces se cuentan por cientos.

Además, hay que tener en cuenta que no todas las víctimas utilizan ID-Ransomware para detectar la variedad de malware. Esto significa que puede haber afectado a muchos más usuarios.

Cómo actúa Rapid


Cuando se ejecuta el ransomware, borrará las copias de volumen ocultas de Windows, finalizará los procesos de la base de datos y desactivará la reparación automática. Los procesos que se terminan son sql.exe, sqlite.exe y oracle.com y los comandos que se ejecutan son:

  • vssadmin.exe Delete Shadow /All /Quiet
  • cmd.exe /C bcdedit /set {default} recoveryenabled No
  • cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Cuando estos comandos han sido ejecutados, el ransomware escanea el ordenador en busca de archivos para cifrar.

Una vez el ransomware haya terminado de cifrar un equipo, creará notas de rescate llamadas How Recovery Files.txt en varias carpetas, incluido el escritorio de Windows. Esta nota de rescate contendrá un correo electrónico con el que la víctima debe comunicarse para recibir instrucciones de pago.

Esta infección también creará autoejecutables que lanzarán el ransomware al inicio y mostrarán la nota de rescate.

A medida que Rapid Ransomware continúa ejecutándose y monitoreando para que los nuevos archivos se cifren después de que un equipo esté cifrado, es importante cerrarlo lo antes posible. Una vez que la víctima detecte que se ha infectado con Rapid, lo que debe de hacer es abrir inmediatamente el administrador de tareas de Windows y finalizar el proceso asociado al ransomware.

Eso sí, hay que tener en cuenta que si no hemos reiniciado todavía el equipo, el proceso en ejecución puede tener cualquier nombre.

Una vez que se finaliza el proceso, iniciamos msconfig.exe y deshabilitamos los autoruns. Si no podemos acceder al administrador de tareas de Windows, podemos reiniciar en Modo a prueba de fallos con redes e intentar desde allí.

Siempre es conveniente contar con programas y herramientas de seguridad. Sin embargo en el caso del ransomware no basta con eso. Para combatir Rapid o cualquier otro tipo, lo esencial es el sentido común. En muchas ocasiones requiere de la interacción del usuario para ejecutarse. Hay que desconfiar siempre de los correos electrónicos desconocidos. Tampoco podemos descargar archivos ni ejecutarlos sin estar seguros de su procedencia.