El ransomware PayForRepair le pone precio a sus archivos
Table of Contents
Otra amenaza en la escena cibernética
Investigadores de ciberseguridad han descubierto otra cepa de ransomware que se infiltra en los sistemas infectados: PayForRepair . Este programa malicioso pertenece a la conocida familia de ransomware Dharma y sigue un patrón familiar pero peligroso: cifra archivos y exige un rescate a cambio de descifrarlos.
PayForRepair está diseñado para bloquear el acceso de las víctimas a sus datos, aplicando una etiqueta de identificación única a cada archivo cifrado. Los archivos infectados se renombran para incluir el ID de la víctima, la dirección de correo electrónico del atacante y la extensión ".P4R". Las víctimas también reciben notas de rescate en ventanas emergentes y como un archivo de texto llamado info.txt , que se coloca en cada carpeta afectada.
Esto es lo que dice la nota de rescate:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Lo que PayForRepair quiere
Ransomware como PayForRepair se crea para inaccesible a datos personales y empresariales mediante el cifrado con algoritmos robustos. Una vez cifrados, los archivos no se pueden abrir ni usar a menos que se proporcione una clave de descifrado única, algo que solo el atacante posee. La nota de rescate de PayForRepair indica a las víctimas que envíen un correo electrónico a los atacantes para negociar la recuperación de los datos. La ventana emergente aclara aún más la situación, indicando que el descifrado solo se proporcionará tras el pago en Bitcoin .
Los atacantes ofrecen una muestra de "buena fe" al permitir a la víctima descifrar hasta tres archivos gratuitamente, siempre que cumplan ciertos criterios. Esta táctica se utiliza habitualmente para generar confianza y presionar a la víctima para que pague. Sin embargo, también advierten a las víctimas contra el uso de herramientas de recuperación de terceros, alegando que podrían corromper permanentemente los archivos cifrados, una táctica de miedo típica de las campañas de ransomware.
Por qué los ataques basados en el Dharma son difíciles de vencer
Como miembro de la familia de ransomware Dharma, PayForRepair comparte varias características con sus homólogos. Si bien protege archivos críticos del sistema (lo que significa que las víctimas pueden seguir utilizando sus dispositivos), ataca indiscriminadamente archivos locales y compartidos en red. El ransomware aumenta su tasa de éxito al finalizar procesos relacionados con archivos abiertos, como los utilizados por bases de datos o aplicaciones de productividad, lo que garantiza que estos archivos también puedan bloquearse.
Para controlar los sistemas infectados, el malware basado en Dharma suele incrustarse en ubicaciones específicas del equipo, como el directorio %LOCALAPPDATA% , y se configura para ejecutarse cada vez que se reinicia el equipo. También elimina las instantáneas de volumen (una función de copia de seguridad integrada en Windows), para que las víctimas no puedan simplemente restaurar sus sistemas a un estado anterior.
La dura realidad: pagar puede no ayudar
Desafortunadamente, las probabilidades están en contra de las víctimas una vez que PayForRepair bloquea sus archivos. Los métodos de cifrado utilizados suelen ser robustos, y sin la clave de descifrado de los atacantes, la recuperación es casi imposible. Incluso si las víctimas pagan el rescate, no hay garantía de que se les proporcionen las herramientas de descifrado. En muchos casos, los ciberdelincuentes simplemente aceptan el pago y desaparecen.
Por eso, los expertos en ciberseguridad desaconsejan encarecidamente pagar rescates. Hacerlo no solo financia operaciones delictivas, sino que también impulsa el crecimiento de los modelos de ransomware como servicio (RaaS), donde se venden o alquilan kits de malware a otros actores maliciosos para realizar ataques generalizados.
Cómo se propaga PayForRepair
El método de infección más común para las variantes del ransomware Dharma, incluyendo PayForRepair, es a través de servicios de Protocolo de Escritorio Remoto (RDP) débiles. Los atacantes utilizan técnicas de fuerza bruta para adivinar contraseñas y acceder a sistemas con poca seguridad de inicio de sesión. Una vez dentro, pueden implementar fácilmente ransomware y desactivar defensas como los firewalls.
Sin embargo, RDP no es el único vector. Otros métodos comunes incluyen correos electrónicos de phishing, archivos adjuntos maliciosos, actualizaciones de software falsas y descargas de fuentes no verificadas. A menudo, el ransomware se camufla en un documento o archivo de instalación de apariencia inofensiva. Al abrirse, se instala silenciosamente y comienza a cifrar archivos.
En algunos casos, el ransomware puede propagarse lateralmente por las redes o incluso infectar dispositivos extraíbles como unidades USB. Esto pone de relieve la necesidad de contar con defensas multicapa que vayan más allá del simple software antivirus.
Prácticas óptimas para la prevención y la recuperación
Dado que eliminar ransomware como PayForRepair no descifrará sus archivos, la prevención es la mejor defensa. Uno de los pasos más importantes es mantener copias de seguridad periódicas sin conexión, almacenadas en ubicaciones seguras y separadas, idealmente en entornos físicos y en la nube. Esto garantiza que, incluso si sufre un ataque, los datos se puedan restaurar sin pagar un rescate.
Los usuarios también deben ser cautelosos al navegar en línea o abrir correos electrónicos no solicitados. Los archivos adjuntos y enlaces de fuentes desconocidas siempre deben tratarse con sospecha. Además, las organizaciones deben desactivar el acceso RDP no utilizado, implementar políticas de contraseñas seguras y actualizar el software periódicamente para corregir las vulnerabilidades conocidas.
Panorama del ransomware en evolución
PayForRepair se une a una creciente lista de cepas de ransomware, incluyendo otras como Jackalock , DarkMystic y VerdaCrypt . Cada una opera con métodos y objetivos ligeramente diferentes, pero todas comparten un propósito común: bloquear datos y extorsionar. Algunas exigen cientos de dólares; otras, millones, según el objetivo.
A medida que las amenazas siguen evolucionando, también debe mejorar nuestra comprensión de cómo operan y cómo defendernos de ellas. Si bien PayForRepair es solo un nombre en un campo abarrotado de ransomware, sus métodos son un claro recordatorio de cómo incluso la navegación rutinaria o la revisión del correo electrónico pueden dar lugar a interrupciones significativas, a menos que se implementen las medidas de seguridad adecuadas.
