CUIDADO CON EL NUEVO RANSOMWARE REGRETLOCKER Y EL MALWARE EMOTET

¿Qué es RegretLocker?

Es un criptógrafo con el objetivo de extorsionar a la víctima. Este nuevo ransomware utiliza una variedad de funciones avanzadas que le permiten cifrar discos duros virtuales y cerrar archivos abiertos para cifrarlos luego. El encripta los archivos del usuario de varios formatos, como archivos de audio, vídeos, documentos de Office, archivos PDF, archivos, entre otros. Esto cifra archivos usando el algoritmo AES y asigna .ratón como extensiones de archivos infectados.

Como imaginan requiere de pago por rescate, pero no redirige a una página web para realizar el mismo, este utiliza el correo electrónico para comunicarse.

RegretLocker se caracteriza por su funciona de monta discos duros virtuales.

Como saben al crear una máquina virtual en ambiente Windows Hyper-V, se crea un disco duro virtual (partiendo del fisco) y se almacena en un archivo VHD o VHDX.

¿Qué sucede? Pues estas particiones contienen una imagen de disco sin procesar y aquí es donde realiza su residencia y ejecución tomando en consideración que tendrá acceso a toda partición, archivo, en fin, a su distribución interna en total control.

Además de utilizar la API de almacenamiento virtual, RegretLocker también utiliza la API de Windows Restart Manager para finalizar procesos o servicios de Windows que mantienen un archivo abierto durante el cifrado lo que agrega que, al usar esta API, si el nombre de un proceso contiene ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’ o ‘svchost.exe’, el ransomware no lo terminará.

¿Qué es el Emotet?

Es un programa maligno bancario que ha evolucionado en múltiples formatos y que tiene la facilidad de cambiar automáticamente su código cada cierto tiempo o con acciones predeterminadas.

Emotet se propaga principalmente a través de correos electrónicos que contienen documentos de Word con macros infectados. Al abrir estos documentos le solicitara al usuario que habilite las macros y aquí es donde comenzara a descargar e instalar el malware en secreto. Una vez infectado el equipo Emotet lo utilizará para enviar correos electrónicos no deseados y agregara la instalación de otro tipos de malware para posibilitar ataques de ransomware en la red de la víctima.

¿Como te puedes proteger?

· Haz un backup periódico de tus datos

· Muestra las extensiones ocultas de los archivos (bloquea los scrips)

· Filtra los archivos .EXE del correo electrónico

· Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData

· Usa un Kit para la prevención de Cryptolocker

· Deshabilita el acceso remoto (si no es necesario)

· Instala las revisiones y actualizaciones de tu software (actualizado en todo momento)

· Usa un paquete de seguridad confiable (antivirus, archivo de contraseñas, etc…)

· Utiliza siempre el sentido común….


7 views0 comments

W-YBCIT

Globe_America_white.png