El ransomware 7ev3n-HONE$T cifra los archivos y cambia su nombre

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Por desgracia, cada poco tiempo aparecen en la red nuevos ransomware y nuevas variantes de las piezas de este malware ya existentes que amenazan la integridad de los archivos de los usuarios. Como ya hemos explicado en muchas ocasiones, cuando el ransomware infecta un ordenador, este cifra todos los datos de los discos duros de la víctima para, posteriormente, pedir el pago de un rescate por ellos o, de lo contrario, se perderán para siempre. Además de eso, cada variante suele realizar otras acciones diferentes, por ejemplo, eliminar archivos tras un periodo de tiempo si no se paga o cambiar el nombre de los mismos para complicar su recuperación.

Un investigador de seguridad ha detectado en la red un aumento preocupante de una nueva variante del ransomware 7ev3n-HONE$T. Cuando este malware cifra los datos de su víctima, le pide el pago de un rescate de unos 400 dólares, en forma de Bitcoin, por poder recuperarlos.

Hasta aquí, no hay nada nuevo en esta variante de ransomware, sin embargo, analizando su comportamiento se ha podido ver cómo, una vez cifrados los archivos con la extensión .R5A, estos se renombran utilizando un orden secuencial, quedando la carpeta con ficheros de la siguiente manera: 1.R5a, 2.R5A, 3.R5A, etc. Cuando se cambia el nombre a un fichero, el original de guarda en el fichero “C:\Users\Public\files” para, si se paga el rescate, renombrarlos a su nombre original.

7ev3n-honest - ransomware

Este ransomware se esconde, generalmente, en la carpeta “C:\Users\Public” y está formado por los siguientes ficheros:

  • C:\Users\Public\conlhost.exe – El binario ejecutable del ransomware en sí.
  • C:\Users\Public\files – La lista con todos los archivos secuestrados.
  • C:\Users\Public\FILES_BACK.txt – Un método alternativo para contactar con el desarrollador del ransomware.
  • C:\Users\Public\testdecrypt – Una pequeña lista de archivos que se pueden descifrar de forma gratuita.
  • C:\Users\Public\time.e – Una marca de tiempo de cuándo se han cifrado los archivos.

La pantalla de bloqueo de este ransomware consta de 4 partes. La primera de ellas muestra la información sobre el secuestro, la segunda de ellas muestra una lista con todos los archivos cifrados, la tercera de ellas una serie de instrucciones para realizar el pago y la cuarta busca convencer a los usuarios de que paguen el rescate, ya que este ransomware permite recuperar de 3 a 5 archivos de forma totalmente gratuita demostrando así que, si se paga, la recuperación es posible.

7ev3n-HONEsT - test

El ransomware 7ev3n-HONE$T aún no ha sido crackeado, por lo que los datos no se pueden recuperar de forma gratuita

Por desgracia, aunque existen muchas herramientas para recuperar los datos cifrados por diferentes variantes de ransomware, a día de hoy, los datos cifrados por 7ev3n-HONE$T no se pueden recuperar de forma gratuita (y aunque paguemos el rescate, la recuperación de los datos no está asegurada), por lo que si caemos víctima de este malware lo más recomendable es esperar a ver si, finalmente, se publica una herramienta para recuperar estos archivos o darlos por perdidos, antes de correr el riesgo de perder también cerca de 400 euros por una clave privada que no terminará de llegar.

Por el momento, los investigadores de seguridad siguen estudiando este nuevo ransomware con el fin de descubrir más información sobre quién está detrás de él (de momento solo se conoce que es de origen turco) y poder encontrar un fallo que permita su recuperación, sin embargo, a día de hoy no se sabe nada más, por lo que habrá que esperar.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone