Ransomware resucitado

En la era digital actual, proteger los dispositivos contra amenazas de malware es crucial. El malware, como el ransomware, puede tener efectos devastadores tanto en personas como en organizaciones, provocando pérdidas significativas de datos, daños financieros e interrupciones operativas. Una de las amenazas más recientes en este ámbito es Risen Ransomware, un software amenazante que cifra los archivos de los usuarios y exige el pago de un rescate por su recuperación. Comprender cómo funciona Risen Ransomware y cómo protegerse contra tales amenazas es esencial para mantener la ciberseguridad.

Una descripción general del ransomware resucitado

Risen Ransomware fue descubierto por investigadores de ciberseguridad que identificaron sus características y métodos de operación únicos. Al infectar un sistema, Risen cifra los archivos y les cambia el nombre agregando una dirección de correo electrónico y una identificación de usuario a sus extensiones. Por ejemplo, '1.png' pasa a llamarse '1.png.Default@firemail.de].E86EQNTPTT' y '2.pdf' se convierte en '2.pdf.Default@firemail.de].E86EQNTPTT'.

Notas de rescate y amenazas

Risen Ransomware crea dos notas de rescate: '$Risen_Note.txt' y '$Risen_Guide.hta'. Además, cambia el fondo de pantalla del escritorio y muestra un mensaje en la pantalla de inicio de sesión previo, lo que garantiza que la víctima esté al tanto de la infracción. Las notas de rescate afirman que los atacantes se han infiltrado en toda la red de la víctima debido a fallas de seguridad y han cifrado todos los archivos utilizando un algoritmo potente. También afirman que se han robado datos críticos, como documentos, imágenes, datos de ingeniería, información contable y datos de clientes.

Tácticas de extorsión

Las notas de rescate amenazan con que si las víctimas no cooperan en un plazo no especificado, los atacantes filtrarán o venderán los datos recopilados. Las notas afirman que las copias de seguridad también han sido cifradas y son inaccesibles, lo que implica que la única forma de recuperar archivos es a través de una herramienta de descifrado específica proporcionada por los atacantes. Las víctimas pueden enviar hasta tres archivos de prueba para descifrarlos de forma gratuita y deben utilizar las direcciones de correo electrónico proporcionadas, default1@tutamail.com y default@firemail.de, para contactar a los atacantes, incluyendo el ID de su máquina en la línea de asunto. Si no hay respuesta dentro de las 72 horas, se les pide a las víctimas que se comuniquen con los atacantes a través de un blog TOR proporcionado.

Los riesgos de pagar el rescate

A pesar de las promesas de los atacantes, se desaconseja pagar el rescate. Existe un riesgo importante de ser engañado, ya que es posible que los atacantes no proporcionen la herramienta de descifrado incluso después del pago. Además, el ransomware puede seguir cifrando archivos y propagándose por la red mientras permanece activo, causando más daños.

Medidas de seguridad para prevenir infecciones de ransomware

Protegerse contra ransomware como Risen requiere un enfoque multifacético. A continuación se muestran algunas medidas de seguridad críticas que los usuarios deben implementar:

• Copias de seguridad periódicas : configure periódicamente una copia de seguridad de los datos importantes y asegúrese de que las copias de seguridad se almacenen sin conexión o en una solución segura basada en la nube. Esto garantiza la recuperación de datos en caso de un ataque.
• Software actualizado : conserve todo el software, incluidas las aplicaciones y los sistemas operativos, actualizado con los últimos parches de seguridad para cerrar las vulnerabilidades que el ransomware puede explotar.
• Potente antimalware : utilice soluciones antimalware confiables para exponer y bloquear el ransomware antes de que pueda causar daño. Asegúrese de que estas herramientas se actualicen periódicamente.
• Filtrado web y de correo electrónico : implemente soluciones de filtrado web y de correo electrónico para bloquear correos electrónicos y sitios web fraudulentos que puedan enviar cargas útiles de ransomware.
• Capacitación de usuarios : eduque a los usuarios sobre los peligros del ransomware y las prácticas seguras en línea. Enfatice la importancia de no abrir archivos adjuntos de correo electrónico sospechosos ni hacer clic en enlaces desconocidos.
• Segmentación de red : segmente su red para regular la propagación del ransomware. Esto puede ayudar a contener una infección y evitar que afecte a toda la red.
• Controles de acceso : implemente controles de acceso estrictos para restringir los permisos de los usuarios y bloquear el acceso no autorizado a datos y sistemas confidenciales.

Risen Ransomware representa una amenaza importante en el panorama de las amenazas cibernéticas. Comprender su funcionamiento y la importancia de los procedimientos de seguridad proactivos puede ayudar a mitigar el riesgo de infección. Al implementar sólidas prácticas de ciberseguridad, los usuarios pueden proteger sus datos y redes de los impactos devastadores del ransomware.

El texto de la nota de rescate dejada a las víctimas de Risen Ransomware es:

'All Your Important Files Have Been Encrypted
NOTE
We have also taken your critical documents and files from different parts of your network, which we will leak or sell if there is no cooperation from your side.

Our operators have been monitoring your business for a while, when we say these documents are critical, we mean it.
We await for your response before the deadline ends, After that we will continue the process of leaking or selling your documents.
We assure you that this won't happen if you cooperate with us.
CONTACT US
For more instructions, to save your files and your business, contact us by :
Email address :Default@firemail.de
didn't get any response in 24 hours ? use : default1@tutamail.com

Leave subject as your machine id "-"
If you didn't get any respond within 72 hours use our Tor blog to contact us, therefore we can create another way for you to contact your cryptor as soon as possible.

ATTENTION
Do not rename or change info of any file, in case of any changes in files after encryption there is a huge risk for making it unusable
Do not pay any amount of money before receiving decrypted test files
there might be many middle man services out there whom will contact us for your case and they will make a profit adding a sort of money to the fixed price
any attempts for decrypting your files through third party softwares will cause permanent damage to following files and permanent data loss
there will be a deadline until your data get sold or leaked by our team,you better corporate with us before the following deadline otherwise we will proceed to sell or leak your data without any past warnings'

El archivo de texto generado por Risen Ransomware contiene el siguiente mensaje de los atacantes:

'RisenNote :

Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and …
And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data, the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor, there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them, so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment, we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : Default@firemail.de

Or If you weren't able to contact us whitin 24 hours please Email : default1@tutamail.com

Leave subject as your machine id :

If you didn't get any respond within 72 hours use our blog to contact us,
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG :'