Cómo lidiar con el ransomware Ragnar Locker (05.19.24)

El ransomware es un malware muy desagradable porque los atacantes exigen que la víctima pague para que sus datos importantes sean liberados de ser rehenes. El ransomware infecta sigilosamente el dispositivo de la víctima, cifra los datos importantes (incluidos los archivos de copia de seguridad) y luego deja instrucciones sobre cuánto rescate se debe pagar y cómo se debe pagar. Después de todas estas molestias, la víctima no tiene garantía de que el atacante realmente libere la clave de descifrado para desbloquear los archivos. Y si alguna vez lo hacen, algunos de los archivos podrían estar dañados, haciéndolos inútiles al final.

A lo largo de los años, el uso de ransomware ha ganado popularidad porque es la forma más directa para que los piratas informáticos ganen dinero. Solo necesitan eliminar el malware y luego esperar a que el usuario envíe dinero a través de Bitcoin. Según datos de Emsisoft, la cantidad de ataques de ransomware en 2019 aumentó en un 41% con respecto al año anterior, afectando a alrededor de 1,000 organizaciones estadounidenses. Cybersecurity Ventures incluso predijo que el ransomware atacará a las empresas cada 11 segundos.

A principios de este año, Ragnar Locker, una nueva cepa de malware, atacó a Energias de Portugal (EDP), una empresa portuguesa de servicios eléctricos con sede en Lisboa. . Los atacantes exigieron 1.580 bitcoins como rescate, lo que equivale a alrededor de $ 11 millones.

¿Qué es Ragnar Locker Ransomware?

Ragnar Locker es un tipo de malware ransomware creado no solo para cifrar datos, sino también para eliminar aplicaciones instaladas, como ConnectWise y Kaseya, que suelen utilizar los proveedores de servicios gestionados y varios servicios de Windows. Ragnar Locker cambia el nombre de los archivos cifrados agregando una extensión única compuesta por la palabra ragnar seguida de una cadena de números y caracteres aleatorios. Por ejemplo, un archivo con el nombre A.jpg cambiará a A.jpg.ragnar_0DE48AAB.

Después de cifrar los archivos, crea un mensaje de rescate utilizando un archivo de texto, con el mismo formato de nombre que con el ejemplo anterior. El mensaje de rescate podría llamarse RGNR_0DE48AAB.txt.

Este ransomware solo se ejecuta en computadoras con Windows, pero aún no está seguro si los autores de este malware también han diseñado una versión para Mac de Ragnar Locker. Por lo general, se enfoca en procesos y aplicaciones comúnmente utilizados por proveedores de servicios administrados para evitar que su ataque sea detectado y detenido. Ragnar Locker solo está dirigido a usuarios de habla inglesa.

El ransomware Ragnar Locker se detectó por primera vez a fines de diciembre de 2019, cuando se utilizó como parte de ataques contra redes comprometidas. Según los expertos en seguridad, el ataque de Ragnar Locker al gigante energético europeo fue un ataque bien pensado y planeado a fondo.

Aquí hay un ejemplo del mensaje de rescate de Ragnar Locker:

¡Hola *!

********************

Si está leyendo este mensaje, su red fue PENETRADA y todos sus archivos y los datos han sido CIFRADOS

por RAGNAR_LOCKER!

********************

********* ¿Qué sucede con su sistema? * ***********

¡Su red fue penetrada, todos sus archivos y copias de seguridad fueron bloqueados! Así que a partir de ahora NADIE PUEDE AYUDARTE a recuperar tus archivos, EXCEPTO NOSOTROS.

Puedes buscarlo en Google, no hay POSIBILIDADES de descifrar datos sin nuestra CLAVE SECRETA.

¡Pero no se preocupe! Tus archivos NO ESTÁN DAÑADOS ni PERDIDOS, solo están MODIFICADOS. Puede recuperarlo tan pronto como pague.

Estamos buscando solo DINERO, por lo que no nos interesa modificar o eliminar su información, es solo un NEGOCIO $ -)

SIN EMBARGO, usted mismo puede dañar sus DATOS si intenta DESCRIFICARLO con cualquier otro software, sin NUESTRA CLAVE DE ENCRIPTACIÓN ESPECÍFICA !!!

Además, se recopiló toda su información confidencial y privada y, si decide NO pagar,

¡la subiremos para la vista pública!

****

*********** ¿Cómo recuperar sus archivos? ******

Para descifra todos tus archivos y datos tienes que pagar por el cifrado CLAVE:

Billetera BTC para el pago: *

Monto a pagar (en Bitcoin): 25

****

*********** ¿Cuánto tiempo tienes para pagar? **********

* Debe ponerse en contacto con nosotros dentro de los 2 días posteriores a haber notado el cifrado para obtener un mejor precio.

* El precio se incrementará en un 100% (precio doble) después de 14 días si no se realiza ningún contacto.

* La clave se borrará por completo en 21 días si no se hace contacto o no se hace ningún trato.

Alguna información sensible robada de los servidores de archivos se cargaría en público o Revendedores.

****

*********** ¿Qué pasa si los archivos no se pueden restaurar? ******

¡Para demostrar que realmente podemos descifrar sus datos, descifraremos uno de sus archivos bloqueados!

Envíenoslo y lo recuperarán GRATIS.

El precio del descifrador se basa en el tamaño de la red, el número de empleados y los ingresos anuales.

No dude en contactarnos para conocer la cantidad de BTC que debe pagar.

****

! SI no sabe cómo obtener bitcoins, le asesoraremos sobre cómo cambiar el dinero.

!!!!!!!!!!!!!

! ¡AQUÍ ESTÁ EL MANUAL SIMPLE DE CÓMO PONERSE EN CONTACTO CON NOSOTROS!

1) Ve al sitio web oficial de TOX messenger (hxxps: //tox.chat/download.html)

2) Descarga e instala qTOX en tu PC, elige la plataforma (Windows, OS X, Linux, etc.)

3) Abra Messenger, haga clic en "Nuevo perfil" y cree un perfil.

4) Haga clic en el botón "Agregar amigos" y busque nuestro contacto *

5) Para identificación, envíe a nuestro soporte los datos de —RAGNAR SECRET—

IMPORTANTE ! SI por alguna razón NO PUEDE CONTACTARNOS en qTOX, aquí está nuestro buzón de reserva (*) envíe un mensaje con un dato de —RAGNAR SECRET—

¡ADVERTENCIA!

-No intente descifrar archivos con ningún software de terceros (se dañará permanentemente)

-No reinstale su sistema operativo, esto puede provocar la pérdida total de datos y archivos no se puede descifrar. ¡NUNCA!

-Tu CLAVE SECRETA para descifrar está en nuestro servidor, pero no se almacenará para siempre. NO PIERDAS TIEMPO !

********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

********************

¿Qué hace Ragnar Locker?

Ragnar Locker generalmente se entrega a través de herramientas MSP como ConnectWise, donde los ciberdelincuentes sueltan un archivo ejecutable de ransomware altamente específico. Esta técnica de propagación ha sido utilizada por ransomware altamente maliciosos anteriores, como Sodinokibi. Cuando ocurre este tipo de ataque, los autores del ransomware se infiltran en organizaciones o instalaciones a través de conexiones RDP no seguras o mal aseguradas. Luego usa herramientas para enviar scripts de Powershell a todos los puntos finales accesibles. Luego, los scripts descargan una carga útil a través de Pastebin diseñada para ejecutar el ransomware y cifrar los puntos finales. En algunos casos, la carga útil viene en forma de un archivo ejecutable que se lanza como parte de un ataque basado en archivos. También hay casos en los que se descargan scripts adicionales como parte de un ataque completamente sin archivos.

Ragnar Locker se dirige específicamente al software que comúnmente ejecutan los proveedores de servicios administrados, incluidas las siguientes cadenas:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

El ransomware primero roba los archivos de un objetivo y los sube a sus servidores. Lo único de Ragnar Locker es que no simplemente encriptan los archivos, sino que también amenazan a la víctima con que los datos se divulgarán públicamente si no se ha pagado el rescate, como en el caso de EDP. Con EDP, los atacantes amenazaron con liberar los supuestos 10 TB de datos robados, lo que podría ser una de las mayores filtraciones de datos de la historia. Los atacantes afirmaron que todos los socios, clientes y competidores serán informados de la violación y que sus datos filtrados se enviarán a las imágenes de noticias y medios para el consumo público. Aunque el portavoz de EDP ha anunciado que el ataque no tuvo un impacto en el servicio eléctrico y la infraestructura de la empresa de servicios públicos, la inminente violación de datos es algo que les preocupa.

La desactivación de servicios y la terminación de procesos son tácticas habituales que utiliza el malware para desactivar programas de seguridad, sistemas de copia de seguridad, bases de datos y servidores de correo. Una vez finalizados estos programas, sus datos se pueden cifrar.

Cuando se inicie por primera vez, Ragnar Locker escaneará las preferencias de idioma de Windows configuradas. Si la preferencia de idioma es el inglés, el malware continuará con el siguiente paso. Pero si Ragnar Locker detecta que el idioma está configurado como uno de los países de la antigua URSS, el malware terminará el proceso y no lo hará con el cifrado de la computadora.

Ragnar Locker compromete las herramientas de seguridad del MSP antes de que puedan bloquear el ransomware se ejecute. Una vez dentro, el malware inicia el proceso de cifrado. Utiliza una clave RSA-2048 incrustada para cifrar los archivos importantes.

Ragnar Locker no cifra todos los archivos. Omitirá algunas carpetas, nombres de archivo y extensiones, como:

  • kernel32.dll
  • Windows
  • Windows.old
  • Navegador Tor
  • Internet Explorer
  • Google
  • Opera
  • Software Opera
  • Mozilla
  • Mozilla Firefox
  • $ Recycle.Bin
  • ProgramData
  • Todos los usuarios
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Además de agregar una nueva extensión de archivo para los archivos cifrados, Ragnar Locker también agrega un marcador de archivo 'RAGNAR' al final de cada archivo cifrado.

Ragnar Locker luego envía un mensaje de rescate llamado '.RGNR_ [extensión] .txt' que contiene detalles sobre el monto del rescate, la dirección de pago de bitcoin, una ID de chat TOX que se usará para comunicarse con los atacantes y una dirección de correo electrónico de respaldo si hay problemas con TOX. A diferencia de otros ransomware, Ragnar Locker no tiene una cantidad fija de rescate. Varía según el objetivo y se calcula individualmente. En algunos informes, el monto del rescate podría variar entre $ 200,000 y $ 600,000. En el caso de EDP, el rescate solicitado fue de 1.580 bitcoins o $ 11 millones.

Cómo eliminar Ragnar Locker

Si su computadora tuvo la mala suerte de infectarse con Ragnar Locker, lo primero que debe hacer es verificar si todos sus archivos se han cifrado. También debe verificar si sus archivos de respaldo también se han cifrado. Ataques como este destacan la importancia de tener una copia de seguridad de sus datos importantes porque, al menos, no tendrá que preocuparse por perder el acceso a sus archivos.

No intente pagar el rescate porque será inútil. No hay garantía de que el atacante le envíe la clave de descifrado correcta y de que sus archivos nunca se filtrarán al público. De hecho, es muy posible que los atacantes sigan extorsionándote porque saben que estás dispuesto a pagar.

Lo que puedes hacer es eliminar el ransomware primero de tu computadora antes de intentar descifrarlo. eso. Puede usar su aplicación antivirus o antimalware para escanear su computadora en busca de malware y seguir las instrucciones para eliminar todas las amenazas detectadas. A continuación, desinstale todas las aplicaciones o extensiones sospechosas que puedan estar relacionadas con el malware.

Por último, busque una herramienta de descifrado que coincida con Ragnar Locker. Hay varios descifradores que se han diseñado para archivos cifrados por ransomware, pero primero debe consultar al fabricante del software de seguridad si tiene uno disponible. Por ejemplo, Avast y Kaspersky tienen su propia herramienta de descifrado que los usuarios pueden utilizar. Aquí hay una lista de otras herramientas de descifrado que puede probar.

Cómo protegerse del Ragnar Locker

El ransomware puede ser bastante problemático, especialmente si no existe una herramienta de descifrado capaz de deshacer el cifrado realizado por el malware . Para proteger su dispositivo del ransomware, particularmente Ragnar Locker, estos son algunos de los consejos que debe tener en cuenta:

  • Emplee una política de contraseña segura, utilizando una autenticación de doble factor o de múltiples factores. (MFA) si es posible. Si no es posible, genere contraseñas únicas aleatorias que serán difíciles de adivinar.
  • Asegúrese de bloquear su computadora cuando deje su escritorio. Ya sea que salga a almorzar, tome un breve descanso o simplemente vaya al baño, bloquee su computadora para evitar el acceso no autorizado.
  • Cree un plan de respaldo y recuperación de datos, especialmente para información crítica ordenador. Almacene la información más crítica almacenada fuera de la red o en un dispositivo externo si es posible. Pruebe estas copias de seguridad con regularidad para asegurarse de que funcionen correctamente en caso de una crisis real.
  • Haga que sus sistemas estén actualizados e instalados con los últimos parches de seguridad. El ransomware generalmente aprovecha las vulnerabilidades de su sistema, así que asegúrese de que la seguridad de su dispositivo sea hermética.
  • Tenga cuidado con los vectores comunes de phishing, que es el método de distribución más común de ransomware. No haga clic en enlaces aleatorios y siempre escanee los archivos adjuntos de correo electrónico antes de descargarlos en su computadora.
  • Tenga un software de seguridad sólido instalado en su dispositivo y mantenga la base de datos actualizada con las últimas amenazas.

Video de Youtube: Cómo lidiar con el ransomware Ragnar Locker

05, 2024