PayForRepair Ransomware

En una època en què les operacions digitals regeixen la nostra vida personal, professional i financera, no es pot exagerar la importància de mantenir una ciberseguretat sòlida. El ransomware, en particular, s'ha convertit en una de les amenaces més perilloses del panorama cibernètic, capaç de bloquejar els usuaris de les seves dades i exigir grans sumes per a la seva devolució. Una amenaça recent que fa onades als cercles de ciberseguretat és el ransomware PayForRepair, una variant de la famós família Dharma . Aquí teniu tot el que necessiteu saber per mantenir-vos segur.

Una cara nova en una vella família: què és el ransomware PayForRepair?

El ransomware PayForRepair és una branca sofisticada del llinatge Dharma Ransomware. El seu objectiu principal és xifrar les dades de les víctimes i extorsionar el pagament per al desxifrat. Un cop executat en un dispositiu, el programari maliciós s'adreça a una àmplia gamma de tipus de fitxers i els afegeix un marcador diferent: un identificador específic de la víctima, el correu electrònic de contacte dels atacants (per exemple, payforrepair@tuta.io) i l'extensió '.P4R'. Per exemple, un fitxer anomenat originalment "1.jpg" pot convertir-se en "1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R".

A més de xifrar fitxers, el programari maliciós deixa caure un missatge de rescat com a fitxer de text anomenat info.txt a tots els directoris afectats i llança un missatge emergent amb demandes més detallades. Es demana a les víctimes que es posin en contacte amb els atacants per correu electrònic i paguin en Bitcoin per, suposadament, recuperar els seus fitxers. Com a esquer, els delinqüents ofereixen una prova de desxifrat gratuïta per a un nombre limitat de fitxers per guanyar confiança.

Tàctiques i comportament: com funciona PayForRepair

PayForRepair presenta diversos comportaments típics de les variants de Dharma:

• Xifratge selectiu : evita la manipulació dels fitxers essencials del sistema per mantenir el sistema operatiu en funcionament, assegurant que les víctimes encara puguin veure les notes de rescat i fer pagaments.
• Finalització del procés : tanca els processos actius, com ara la base de dades o el programari de documents, per accedir als fitxers oberts.
• Mecanismes de persistència : el ransomware s'instal·la a "%LOCALAPPDATA%", afegeix entrades de registre per a l'inici automàtic i assegura que s'executa després de cada reinici del sistema.
• Supressió de còpies d'ombra : elimina les còpies de volum d'ombra per evitar opcions simples de recuperació de fitxers.
• Segmentació geogràfica : segons dades de geolocalització, pot saltar determinades regions o prioritzar-ne d'altres segons consideracions econòmiques o polítiques.

Com es propaga: punts d'entrada i vectors d'infecció

Tot i que el Dharma Ransomware s'estén tradicionalment mitjançant atacs de força bruta del Protocol d'escriptori remot (RDP), PayForRepair no és una excepció i utilitza múltiples tècniques de distribució:

• Serveis RDP explotats : els punts finals RDP mal assegurats sovint es veuen forçats per obtenir accés.
• Correus electrònics i enllaços de pesca : els fitxers adjunts o enllaços fraudulents en correus electrònics i missatges directes segueixen sent un vector d'infecció preferit.
• Descàrregues de drive-by i programari fals : les descàrregues enganyoses de llocs de tercers, la publicitat maliciosa i les esquerdes o actualitzacions de programari falsos ajuden a propagar el programari maliciós.
• Propagació de la xarxa i de la unitat extraïble : un cop dins d'una xarxa, el ransomware es pot estendre a altres sistemes i dispositius connectats.

Don't Pay – Protect Instead: Bones pràctiques de seguretat

El pagament d'un rescat mai s'ha de considerar una solució viable. No hi ha cap garantia que els cibercriminals compleixin les seves promeses. En lloc d'això, reforça les teves defenses amb aquestes pràctiques de ciberseguretat:

1. Reforçar la seguretat del dispositiu i de la xarxa
2. Utilitzeu contrasenyes fortes i creatives per a tots els comptes; implementar l'autenticació multifactor.
3. Desactiveu els serveis d'accés remot no utilitzats com RDP o restringiu-los mitjançant la llista blanca de VPN i IP.
4. Manteniu el vostre tallafoc actiu i configureu-lo correctament per bloquejar activitats sospitoses.
5. Sovint, actualitzeu els vostres sistemes operatius i programari per solucionar les vulnerabilitats conegudes.
6. Practiqueu hàbits segurs de fitxers i web
7. Aneu amb compte amb els fitxers adjunts i els enllaços de correu electrònic; no obriu res de fonts desconegudes.
8. Baixeu programari només des de plataformes oficials o de bona reputació.
9. Eviteu utilitzar programes piratejats, cracks o keygens, que sovint estan relacionats amb programari maliciós.
10. Instal·leu i mantingueu un programari antivirus/anti-malware robust amb protecció en temps real.
11. Creeu còpies de seguretat fora de línia dels fitxers essencials amb regularitat i emmagatzemeu-los en dispositius desconnectats o plataformes de núvol segures.

Pensaments finals: la prevenció és la millor cura

Com que una infecció de ransomware com PayForRepair ha compromès el vostre sistema, les opcions de recuperació són escasses i incertes. L'eliminació del programari maliciós és essencial, però no desxifrarà els fitxers; només les còpies de seguretat preexistents o les eines de desxifrat (si estan disponibles) poden ajudar. La millor defensa és la proactiva: enforteix la teva postura de ciberseguretat, mantén la vigilància en línia i educa els altres al teu voltant. La ciberdelinqüència no desapareix, però amb la preparació, no cal que guanyi.