Un investigador de seguridad ha
detectado en la red un aumento preocupante de una nueva variante del ransomware
7ev3n-HONE$T. Cuando este malware cifra los datos de su víctima, le pide el
pago de un rescate de unos 400 dólares, en forma de Bitcoin, por poder
recuperarlos.
Nada nuevo en esta variante de ransomware, sin embargo, analizando su comportamiento se ha podido ver cómo, una vez cifrados los archivos con la extensión .R5A, estos se renombran utilizando un orden secuencial, quedando la carpeta con ficheros de la siguiente manera: 1.R5a, 2.R5A, 3.R5A, etc. Cuando se cambia el nombre a un fichero, el original de guarda en el fichero “C:\Users\Public\files” para, si se paga el rescate, renombrarlos a su nombre original.
Este ransomware se esconde,
generalmente, en la carpeta “C:\Users\Public” y está formado por los siguientes
ficheros:
- C:\Users\Public\conlhost.exe
– El binario ejecutable del ransomware en sí.
- C:\Users\Public\files
– La lista con todos los archivos secuestrados.
- C:\Users\Public\FILES_BACK.txt
– Un método alternativo para contactar con el desarrollador del
ransomware.
- C:\Users\Public\testdecrypt
– Una pequeña lista de archivos que se pueden descifrar de forma gratuita.
- C:\Users\Public\time.e
– Una marca de tiempo de cuándo se han cifrado los archivos.
La pantalla de bloqueo de este
ransomware consta de 4 partes.
- la primera de ellas muestra la información sobre el secuestro,
- la segunda de ellas muestra una lista con todos los archivos cifrados,
- la tercera de ellas una serie de instrucciones para realizar el pago
- y la cuarta busca convencer a los usuarios de que paguen el rescate, ya que este ransomware permite recuperar de 3 a 5 archivos de forma totalmente gratuita demostrando así que, si se paga, la recuperación es posible.
El ransomware 7ev3n-HONE$T
aún no ha sido crackeado,
- Por desgracia,
aunque existen muchas herramientas para recuperar los datos cifrados por
diferentes variantes de ransomware, a día de hoy, los datos cifrados por
7ev3n-HONE$T no se pueden recuperar de forma gratuita (y aunque paguemos
el rescate, la recuperación de los datos no está asegurada), por lo que si
caemos víctima de este malware lo más recomendable es esperar a ver si,
finalmente, se publica una herramienta para recuperar estos archivos o
darlos por perdidos, antes de correr el riesgo de perder también cerca de
400 euros por una clave privada que no terminará de llegar.
- Por el momento,
los investigadores de seguridad siguen estudiando este nuevo ransomware
con el fin de descubrir más información sobre quién está detrás de él (de
momento solo se conoce que es de origen turco) y poder encontrar un fallo
que permita su recuperación, sin embargo, a día de hoy no se sabe nada
más, por lo que habrá que esperar.