Reha Ransomware

Reha Ransomware se encuentra entre los troyanos de cifrado de archivos descubiertos más recientemente. Una vez detectado y disecado, esta amenaza reveló que es una variante del infame STOP Ransomware . Durante 2019, la familia STOP Ransomware reclamó innumerables víctimas, ya que surgió como la familia de ransomware más activa durante todo el año. El Reha Ransomware comprometería la PC de un usuario, bloquearía todos sus archivos y luego les presentaría una nota de rescate pidiendo dinero a cambio de una clave de descifrado.

Propagación y Cifrado

Los investigadores de malware aún no han identificado con certeza cuál es el vector de infección responsable de la propagación del Reha Ransomware. Algunos especulan que los autores del Reha Ransomware pueden estar utilizando correos electrónicos no deseados que contienen archivos adjuntos con macrocables. También es probable que los atacantes estén utilizando campañas de publicidad maliciosa, copias pirateadas de aplicaciones populares, actualizaciones de software falsas y otros trucos para propagar el Reha Ransomware. El Reha Ransomware está diseñado para apuntar a una amplia gama de tipos de archivos, ya que esto aumentaría las posibilidades de que la víctima pague la tarifa de rescate exigida. Una vez que se infiltra en un sistema, Reha Ransomware comenzaría a bloquear los datos del usuario con la ayuda de un algoritmo de cifrado. Después del proceso de cifrado, la víctima notará que se han cambiado todos los nombres de sus archivos. Esto se debe a que Reha Ransomware aplica una extensión adicional a todos los nombres de los archivos afectados: '.reha'. Por ejemplo, un archivo originalmente llamado 'Frosty-Morning.jpeg' será renombrado como 'Frosty-Morning.jpeg.reha' y ya no será ejecutable.

La nota de rescate

Después de completar el proceso de encriptación, Reha Ransomware procederá con el ataque dejando caer una nota de rescate en el escritorio del usuario. El archivo que contiene el mensaje de los atacantes se llama '_readme.txt'. En la nota, los autores del Reha Ransomware describen varios puntos principales:

• Los usuarios que contactan a los atacantes dentro de las 72 horas posteriores al ataque tendrían que pagar $ 490.
• Los usuarios que no se comuniquen con los atacantes dentro de las 72 horas posteriores al ataque tendrían que pagar $ 980.
• Los usuarios deben contactar a los atacantes por correo electrónico: 'helpmanager@firemail.cc' y 'helpmanager@iran.ir'.

No debe cooperar con los delincuentes cibernéticos que crearon el Reha Ransomware. Tales actores turbios tienden a hacer promesas que rara vez cumplen, lo que significa que incluso los usuarios que pagan no tienen la herramienta de descifrado que necesitan. En su lugar, debería considerar descargar e instalar una aplicación genuina anti-spyware que lo librará definitivamente del Reha Ransomware.