El ransomware Rapid, es una una nueva variedad que se está
distribuyendo y es uno más de los muchos que existen, sin embargo cuenta una
peculiaridad: se mantiene activo después de cifrar los datos de un ordenador.
Rapid, otro
ransomware más
De momento se
desconoce exactamente cómo se distribuye Rapid. Lo que sí se sabe es que ha
afectado a muchas personas desde este mes de enero. Según podemos ver en las
estadísticas ofrecidas por ID-Ransomware, el primer caso del que se tiene
constancia fue el 3 de enero. Desde entonces se cuentan por cientos.
Además, hay que tener
en cuenta que no todas las víctimas utilizan ID-Ransomware para detectar la
variedad de malware. Esto significa que puede haber afectado a muchos más
usuarios.
Cómo actúa Rapid
Cuando se ejecuta el
ransomware, borrará las copias de volumen ocultas de Windows, finalizará los
procesos de la base de datos y desactivará la reparación automática. Los
procesos que se terminan son sql.exe, sqlite.exe y oracle.com y los comandos
que se ejecutan son:
- vssadmin.exe
Delete Shadow /All /Quiet
- cmd.exe /C
bcdedit /set {default} recoveryenabled No
- cmd.exe /C
bcdedit /set {default} bootstatuspolicy ignoreallfailures
Cuando estos comandos
han sido ejecutados, el ransomware escanea el ordenador en busca de archivos
para cifrar.
Una vez el ransomware
haya terminado de cifrar un equipo, creará notas de rescate llamadas How
Recovery Files.txt en varias carpetas, incluido el escritorio de Windows. Esta
nota de rescate contendrá un correo electrónico con el que la víctima debe
comunicarse para recibir instrucciones de pago.
Esta infección
también creará autoejecutables que lanzarán el ransomware al inicio y mostrarán
la nota de rescate.
A medida que Rapid
Ransomware continúa ejecutándose y monitoreando para que los nuevos archivos se
cifren después de que un equipo esté cifrado, es importante cerrarlo lo antes
posible. Una vez que la víctima detecte que se ha infectado con Rapid, lo que
debe de hacer es abrir inmediatamente el administrador de tareas de Windows y
finalizar el proceso asociado al ransomware.
Eso sí, hay que tener
en cuenta que si no hemos reiniciado todavía el equipo, el proceso en ejecución
puede tener cualquier nombre.
Una vez que se
finaliza el proceso, iniciamos msconfig.exe y deshabilitamos los autoruns. Si
no podemos acceder al administrador de tareas de Windows, podemos reiniciar en
Modo a prueba de fallos con redes e intentar desde allí.
Siempre es
conveniente contar con programas y herramientas de seguridad. Sin embargo en el
caso del ransomware no basta con eso. Para combatir Rapid o cualquier otro
tipo, lo esencial es el sentido común. En muchas ocasiones requiere de la
interacción del usuario para ejecutarse. Hay que desconfiar siempre de los
correos electrónicos desconocidos. Tampoco podemos descargar archivos ni
ejecutarlos sin estar seguros de su procedencia.
Fuente: Bleeping
Computer
