Virus por acceso remoto Ransomware Dharma (.bip)

0

Michael Gillespie notó lo que parecía ser una nueva variante del Ransomware Crysis/Dharma subido a su sitio ID-Ransomware. Jakub Kroustek luego descubrió algunas muestras para confirmar que efectivamente era una nueva variante de Dharma. Esta nueva versión agrega la extensión .Bip a los archivos cifrados. No se sabe exactamente cómo se está distribuyendo esta variante, pero en el pasado el Dharma generalmente se propaga explotando las vulnerabilidades de los Servicios de Escritorio remoto e instalando manualmente el ransomware.

Cuando se instala la variante Bip de Dharma, escanea una computadora en busca de archivos de documentos y los encripta. Al encriptar un archivo, agregará una extensión en el formato de id-[id].[email].bip. Por ejemplo, un archivo llamado test.jpg se cifraría y cambiaría a test.jpg.id-BCBEF350.[Beamsell@qq.com].bip.

Cabe señalar que este ransomware encriptará las unidades de red mapeadas, las unidades de host de máquinas virtuales compartidas y los recursos compartidos de red no asignados. Por lo tanto, es importante asegurarse de que las acciones de su red estén bloqueadas, de modo que solo aquellos que realmente necesitan acceso tengan permiso.

Puede ver un ejemplo de una carpeta cifrada por la variante Bip de Dharma a continuación.


Cuando esta variante cifra una computadora, también eliminará todas las capas de volúmenes ocultos en la máquina para que no se puedan usar para recuperar archivos no encriptados. Los elimina ejecutando el comando vssadmin delete shadows /all /quiet.

Este ransomware también creará dos notas de rescate diferentes en la computadora infectada. Uno es el archivo Info.hta, que se inicia con una ejecución automática cuando un usuario inicia sesión en la computadora.


La otra nota se llama FILES ENCRYPTED.txt y se puede encontrar en el escritorio.


Ambas notas de rescate contienen instrucciones para contactar a Beamsell@qq.com a fin de obtener instrucciones de pago.

Finalmente, el ransomware se configurará automáticamente para iniciarse cuando inicie sesión en Windows. Esto le permite cifrar los archivos nuevos que se crean desde que se ejecutó por última vez.

No es posible descifrar la variante Dharma Bip Ransomware

Desafortunadamente, en este momento no hay forma de descifrar archivos cifrados por la variante Bip Ransomware de forma gratuita.

La única forma de recuperar archivos encriptados es mediante una copia de seguridad, o si tiene mucha suerte, a través de Shadow Volume Copies. Aunque Dharma sí intenta eliminar Shadow Volume Copies, en raras ocasiones las infecciones de ransomware no lo hacen por cualquier motivo. Debido a esto, si no tiene una copia de seguridad viable, siempre sugiero que las personas intenten, como último recurso, restaurar también los archivos cifrados de Shadow Volume Copies.

Cómo protegerse del Dharma Ransomware

Para protegerse del Dharma o de cualquier ransomware, es importante que utilice buenos hábitos informáticos y software de seguridad. En primer lugar, siempre debe tener una copia de seguridad confiable y probada de sus datos que se puede restaurar en caso de una emergencia, como un ataque de ransomware.

Los Ransomwares como Dharma puede instalarse a través de servicios de Escritorio remoto con vulnerabilidades, es muy importante asegurarse de que esté bloqueado correctamente. Esto incluye asegurarse de que ninguna computadora con servicios de escritorio remotos esté conectada directamente a Internet. En su lugar, coloque las computadoras que ejecutan el escritorio remoto detrás de las VPN para que solo puedan acceder a ellas quienes tengan cuentas VPN en su red.

También es importante configurar las políticas de bloqueo de cuenta adecuadas para que sea difícil obligar a las cuentas a pasar por ataques de fuerza bruta sobre los Servicios de Escritorio remoto.

También debe tener un software de seguridad que incorpore detecciones de comportamiento para combatir el ransomware y no solo detecciones de firmas o heurística. Por ejemplo, Kaspersky Endpoint Security for Business que contiene detección de comportamiento que puede evitar que muchas, si no la mayoría, las infecciones de ransomware encripten una computadora.

Por último, pero no menos importante, asegúrese de practicar los siguientes buenos hábitos de seguridad en línea, que en muchos casos son los pasos más importantes de todos:

  • Respaldo, Respaldo, Respaldo!
  • No abra archivos adjuntos si no sabe quién los envió.
  • No abra archivos adjuntos hasta que confirme que la persona realmente los envió.
  • Escanee archivos adjuntos con herramientas como VirusTotal.
  • ¡Asegúrese de que todas las actualizaciones de Windows estén instaladas tan pronto como salgan! También asegúrese de actualizar todos los programas, especialmente Java, Flash y Adobe Reader. Los programas antiguos contienen vulnerabilidades de seguridad que son comúnmente explotadas por los distribuidores de malware. Por lo tanto, es importante mantenerlos actualizados.
  • Asegúrese de utilizar algún tipo de software de seguridad instalado.
  • Use contraseñas fijas y nunca reutilice la misma contraseña en múltiples sitios.
  • Si está utilizando los Servicios de Escritorio remoto, no lo conecte directamente a Internet. En cambio, hágalo de manera accesible solo a través de una VPN.

Tal vez te interesen estas entradas

No hay comentarios