Programari de ransomware REVRAC (Makop)
El perill que representa el ransomware és més gran que mai. Amb les filtracions de dades i els atacs de programari maliciós que ocupen titulars regularment, és fonamental que els usuaris es mantinguin alerta i adoptin pràctiques de ciberseguretat sòlides. Entre les darreres amenaces que circulen hi ha una variant recentment identificada del ransomware REVRAC, una soca sofisticada i altament perjudicial que pertany a la família de ransomware Makop. Aquesta anàlisi aprofundeix en el funcionament d'aquesta amenaça, els seus mètodes d'infecció i les maneres més efectives de defensar-se'n.
Taula de continguts
Un nom familiar amb un gir perillós
Tot i que en el passat s'ha vist un ransomware anomenat REVRAC, la variant actual és una evolució completament nova i perillosa. Aquesta versió s'ha vinculat de manera concloent a la família de ransomware Makop, coneguda pel seu xifratge agressiu i les seves capacitats destructives. Un cop executat en un sistema objectiu, REVRAC comença immediatament a xifrar els fitxers de l'usuari, inclosos documents, imatges, bases de dades i altres dades valuoses.
Els fitxers infectats es reanomenen seguint un patró diferent: el nom del fitxer original es modifica per incloure l'identificador únic de la víctima, l'adreça de correu electrònic dels atacants i l'extensió '.REVRAC'. Per exemple, un fitxer com ara '1.png' es reanomenen '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC'.
A més de bloquejar fitxers, el ransomware canvia el fons de pantalla de l'escriptori del sistema i crea una nota de rescat anomenada "+README-WARNING+.txt". Aquesta nota descriu les demandes dels atacants i adverteix contra l'ús d'eines de tercers o el canvi de nom de fitxers, amenaçant amb danys permanents o augmentant les demandes de rescat.
La nota de rescat: extorsió intencionada
El missatge de rescat deixat per REVRAC té com a objectiu coaccionar les víctimes perquè compleixin la normativa mitjançant la por i la urgència. Informa els usuaris que els seus fitxers no es poden restaurar sense una clau de desxifrat única que només posseeixen els atacants. Es recomana a les víctimes que contactin amb "onlybuy@cyberfear.com", proporcionant el seu document d'identitat personal tal com es mostra als noms dels fitxers. La nota emfatitza que qualsevol intent no autoritzat de desxifrar o modificar les dades xifrades podria provocar una pèrdua irreversible de dades.
Malgrat aquestes afirmacions, els experts en ciberseguretat desaconsellen fermament no pagar el rescat. No hi ha cap garantia que pagar-lo permeti recuperar els fitxers, i fer-ho només fomenta més activitats delictives.
Com infecta REVRAC els sistemes
El ransomware REVRAC es propaga a través d'una varietat de tàctiques enganyoses i malicioses. Els vectors d'infecció comuns inclouen:
Instal·ladors de programari falsos : programari maliciós disfressat de programes piratejats, generadors de claus o eines d'activació no autoritzades.
Correus electrònics de suplantació d'identitat (phishing) : missatges que enganyen els usuaris perquè descarreguin fitxers adjunts maliciosos o facin clic a enllaços perillosos.
Llocs web i anuncis compromesos : llocs web o anuncis d'aspecte legítim que instal·len programari maliciós en secret.
Suports extraïbles i propagació de xarxa : infeccions que es propaguen a través d'unitats USB o lateralment a través de sistemes connectats.
Explotació de vulnerabilitats de programari : ús d'errors sense pegats en programari legítim per obtenir accés i executar la càrrega útil del ransomware.
El programari maliciós sovint s'incrusta en formats de fitxer com ara fitxers executables (.exe), documents (.docx, .xls), scripts (.js, .vbs) o arxius (.zip, .rar).
Millors pràctiques per prevenir infeccions de ransomware
Per defensar-se contra amenaces com REVRAC, els usuaris han d'adoptar un enfocament de ciberseguretat proactiu i per capes. Algunes de les pràctiques de seguretat més efectives inclouen:
- Mantingueu tots els sistemes operatius, aplicacions i eines de seguretat completament actualitzats.
- Feu servir una solució antivirus o antimalware de bona reputació amb protecció en temps real.
- Desactiva les macros als fitxers de Microsoft Office de fonts desconegudes.
Conclusió: Mantingueu-vos alerta, mantingueu-vos protegits
El ransomware REVRAC és un exemple potent de com el ransomware continua evolucionant, tornant-se més específic i perjudicial. La seva afiliació amb la família Makop destaca el seu potencial per causar danys greus. Tanmateix, amb les precaucions adequades, des de la higiene del programari fins a l'educació dels usuaris i les rutines de còpia de seguretat, tant els individus com les organitzacions poden protegir les seves dades i sistemes perquè no caiguin en mans de ciberdelinqüents. La prevenció continua sent l'eina més poderosa contra el ransomware.
Missatges
S'han trobat els missatges següents associats a Programari de ransomware REVRAC (Makop):
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
