Al parecer, el ransomware es una de las amenazas preferidas por los atacantes y es uno de los mayores problemas de seguridad que enfrentamos tanto usuarios como empresas.

Descubierto por primera vez por el investigador de seguridad de malware, Michael Gillespie, Rapid es otro virus tipo ransomware que infiltra sigilosamente sistemas sin consentimiento. Una vez infiltrado, Rapid encripta los datos almacenados y agrega nombres de archivos con la extensión “.rapid”.

 

 

Este malware cuenta con una característica única: se mantiene activo después de cifrar los datos de un ordenador, es decir, después de llevar a cabo el encriptado inicial del ordenador infectado, continúa cifrando los archivos nuevos que se vayan creando en el equipo, lo cual llama mucho la atención, pues no en la forma habitual con la que ataca este tipo de malware.

Cabe mencionar, que si hemos sido atacados, podemos utilizar la herramienta ID-Ransomware (la cual cuenta con 543 variedades de ransomware almacenadas en su base de datos) solamente para detectar qué ransomware pudo haber cifrado nuestros archivos y posteriormente nos informará si hay una manera conocida de descifrar nuestros archivos.

Así nos ataca Rapid

Cuando Rapid entra en accion, borrar las copias de volumen ocultas de Windows, finalizará los procesos de la base de datos y desactivará la reparación automática. Los procesos que se terminan son sql.exe, sqlite.exe y oracle.com y los comandos que se ejecutan son:

  • vssadmin.exe Delete Shadow /All /Quiet
  • cmd.exe /C bcdedit /set {default} recoveryenabled No
  • cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Posteriormente, Rapid escanea el ordenador en busca de archivos para cifrar y una vez que haya terminado de cifrar un equipo, creará notas de rescate llamadas How Recovery Files.txt en varias carpetas, incluido el escritorio de Windows.

 

 

Una vez que la victima detecte que ha sido atacada por Rapid, lo que debe de hacer es abrir inmediatamente el administrador de tareas de Windows y finalizar el proceso asociado al ransomware para evitar que nuevos archivos se cifren.

Una vez que se finaliza el proceso, iniciamos msconfig.exe y deshabilitamos los autoruns. Si no podemos acceder al administrador de tareas de Windows, podemos reiniciar en Modo a prueba de fallos con redes e intentar desde allí.

  • Usuarios de Windows XP y Windows 7: inicie su computadora en modo seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio de su computadora, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones avanzadas de Windows y luego seleccione Modo a prueba de fallos con redes en la lista.
  • Usuarios de Windows 8: inicie Windows 8 es Modo seguro con red: vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta “Configuración general de PC”, seleccione Inicio avanzado. Haga clic en el botón “Reiniciar ahora”. Su computadora ahora se reiniciará en el “menú de opciones de inicio avanzado”. Haga clic en el botón “Solucionar problemas” y luego haga clic en el botón “Opciones avanzadas”. En la pantalla de opciones avanzadas, haga clic en “Configuración de inicio”. Haga clic en el botón “Reiniciar”. Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para arrancar en modo seguro con red.
  • Usuarios de Windows 10: haga clic en el logotipo de Windows y seleccione el ícono de Energía. En el menú abierto, haga clic en “Reiniciar” mientras mantiene presionado el botón “Shift” en su teclado. En la ventana “elegir una opción”, haga clic en “Solución de problemas”, luego seleccione “Opciones avanzadas”. En el menú de opciones avanzadas, seleccione “Configuración de inicio” y haga clic en el botón “Reiniciar”. En la siguiente ventana debe hacer clic en el botón “F5” en su teclado. Esto reiniciará su sistema operativo en modo seguro con la red. Inicie sesión en la cuenta infectada con el virus Rapid.

Posteriormente, inicie su navegador de Internet (el que sea de su preferencia )y descargue un programa legítimo contra programas espía. Actualice el software antispyware e inicie un análisis completo del sistema. Eliminar todas las entradas detectadas.

Si no puede iniciar su computadora en modo seguro con redes, intente realizar una restauración del sistema.

Para recuperar el control de los archivos encriptados por Rapid, también puede intentar usar un programa llamado Shadow Explorer. Más información sobre cómo usar este programa está disponible aquí.

Cuando navegues por Internet nunca abras archivos adjuntos recibidos de direcciones de correo electrónico sospechosas, de hecho, estos correos electrónicos se deben eliminar sin leer. Además, sus aplicaciones solo deben descargarse de fuentes oficiales y, preferentemente, utilizando un enlace de descarga directa (los descargadores / instaladores de terceros a menudo proliferan aplicaciones maliciosas). No obstante, mantenga las aplicaciones instaladas al día y use un paquete legítimo de antivirus / antispyware, ya que los delincuentes utilizan actualizaciones falsas para propagar el malware.

 

 

Autor: Manuel Tohe

 

 

Referencias
http://noticiasseguridad.com/malware-virus/rapid-el-nuevo-ransomware-que-no-le-basta-con-cifrar-una-vez-el-equipo/
https://www.pcrisk.com/removal-guides/12098-rapid-ransomware
https://www.redeszone.net/2018/01/24/rapid-nuevo-ransomware-cifrar-equipo/
https://computerhoy.com/noticias/software/rapid-ransomware-nueva-amenaza-que-encripta-archivos-tu-pc-74859

 

 

 

Deja un comentario