Reparar ransomware

Durante su análisis de posibles amenazas de malware, los investigadores de ciberseguridad encontraron un programa malicioso conocido como Repair. Este programa funciona como ransomware al cifrar datos en sistemas infectados. Tras la infiltración, Repair bloquea numerosos archivos y altera sus nombres originales añadiendo una extensión '.repair'. Por ejemplo, un archivo llamado '1.png' aparecería como '1.png.repair' y '2.pdf' se convertiría en '2.pdf.repair', y así sucesivamente.

Una vez que se completa el proceso de cifrado, Repair genera un archivo HTML llamado 'How_to_back_files.html' en el sistema comprometido. Este archivo contiene la nota de rescate de los atacantes, que exige el pago por el descifrado. Además, Repair emplea tácticas de doble extorsión al amenazar a las víctimas con la exposición de sus datos. Esta variante particular de ransomware está asociada con la familia MedusaLocker Ransomware .

El Repair Ransomware extorsiona a las víctimas tomando como rehenes los datos

La nota de rescate de Repair indica que este ransomware en particular se dirige principalmente a empresas y no a usuarios domésticos individuales. La nota menciona explícitamente que los archivos dentro de la red de la empresa han sido cifrados y los atacantes han extraído datos confidenciales o personales. Destaca que sólo los ciberdelincuentes poseen la capacidad de desbloquear los archivos cifrados. Se advierte contra cualquier intento por parte de la víctima de cambiar el nombre, modificar o descifrar manualmente los archivos, ya que podrían dañar los datos de forma irreversible.

Para iniciar el proceso de descifrado, las víctimas deben pagar un rescate. El incumplimiento de esta demanda puede dar lugar a que los atacantes filtren o vendan los datos robados. Además, el monto del rescate aumenta si no se inicia el contacto con los ciberdelincuentes dentro de las 72 horas. Antes de realizar el pago, las víctimas pueden probar el descifrado en hasta tres archivos menos críticos.

Los expertos en seguridad de la información advierten que el descifrado sin la participación de los atacantes suele ser poco práctico. Las excepciones a esta regla son raras y generalmente ocurren en casos en los que el ransomware tiene fallas fundamentales.

Además, no hay garantías de que los ciberdelincuentes proporcionen las claves o el software de descifrado prometidos incluso después de recibir el pago. Por lo tanto, se desaconseja encarecidamente acceder a sus demandas, ya que hacerlo no sólo no garantiza la recuperación de archivos sino que también perpetúa las actividades delictivas.

Si bien eliminar Repair ransomware del sistema operativo evita un mayor cifrado de datos, no restaura archivos que ya han sido afectados por el ransomware.

Tome medidas para proteger sus datos y dispositivos de ataques de malware

Proteger datos y dispositivos de ataques de malware requiere un enfoque multifacético que abarque medidas tanto preventivas como de respuesta. A continuación se detallan algunos pasos clave que los usuarios pueden seguir:

• Mantenga el software actualizado : actualice periódicamente los sistemas operativos, las aplicaciones de software y los programas antivirus para corregir vulnerabilidades y protegerse contra vulnerabilidades conocidas. Muchos ataques de malware explotan software obsoleto.
• Utilice contraseñas seguras : utilice siempre contraseñas únicas para todas las cuentas, incluidas las de correo electrónico, redes sociales y banca en línea. Considere los beneficios de utilizar un administrador de contraseñas para generar y almacenar contraseñas seguras de forma segura.
• Habilite la autenticación de dos factores (2FA) : implemente 2FA cuando sea posible para maximizar la seguridad de las cuentas. Esto garantiza que incluso si una contraseña se ve comprometida, se requiere un paso de verificación complementario para acceder.
• Tenga cuidado con el correo electrónico : tenga cuidado con los correos electrónicos no solicitados, especialmente aquellos que contienen archivos adjuntos o enlaces de remitentes desconocidos. Evite hacer clic en enlaces dudosos o descargar archivos adjuntos de correos electrónicos que parezcan sospechosos o inesperados.
• Realice copias de seguridad de los datos con regularidad : mantenga copias de seguridad periódicas de los archivos necesarios y otros datos en un dispositivo de almacenamiento externo o servicio en la nube. Asegúrese de que las copias de seguridad se almacenen de forma segura y no se pueda acceder a ellas directamente desde la red para evitar que se vean comprometidas en un ataque de malware.
• Utilice software de seguridad : instale y actualice periódicamente software antimalware confiable en todos los dispositivos. Estos programas pueden detectar y eliminar amenazas de malware, así como brindar protección en tiempo real contra nuevas amenazas.
• Implemente medidas de seguridad de la red : utilice firewalls, sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) para monitorear y filtrar el tráfico de la red en busca de actividades sospechosas. Segmente las redes para limitar la propagación de malware en caso de una infracción.
• Educar a los usuarios : implementar programas de capacitación y concientización para educar a los usuarios sobre los riesgos del malware y cómo identificar amenazas potenciales. Enséñeles a reconocer correos electrónicos de phishing, enlaces sospechosos y otras tácticas comunes utilizadas por los ciberdelincuentes.
• Escanee periódicamente en busca de malware : realice análisis regulares de malware en todos los dispositivos para detectar y eliminar cualquier software inseguro que pueda haber eludido las defensas iniciales.

Siguiendo estas medidas, los usuarios pueden mejorar significativamente la seguridad de sus datos y dispositivos, disminuyendo el riesgo de sufrir ataques de malware.

La nota de rescate generada por Repair Ransomware dice:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
suntorydots@tutanota.com
suntorydots@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'