Rajah Ransomware pide un rescate de Bitcoin

Durante nuestro análisis de los envíos de nuevos archivos, nuestro equipo de investigación se encontró con el ransomware Rajah, un programa malicioso que pertenece a la familia de ransomware Makop. Este tipo específico de malware está diseñado con el propósito de cifrar datos y extorsionar el pago a cambio de descifrarlos.

Al probar el ransomware Rajah en nuestro sistema, observamos que encripta archivos y modifica sus títulos agregando una identificación distinta asignada a cada víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".rajah". Como ejemplo, un archivo llamado originalmente "1.jpg" se transformaría en "1.jpg.[2AF20FA3].[rajah@airmail.cc].rajah". Además, el ransomware crea una nota de rescate con la etiqueta "+README-WARNING+.txt".

La nota de rescate sirve como una demanda de pago, enfatizando que los archivos de la víctima han sido encriptados y solo los atacantes pueden restaurarlos. Advierte explícitamente contra el intento de utilizar software antivirus o herramientas de recuperación de terceros, ya que tales acciones harían que los archivos no se pudieran descifrar de forma permanente, lo que provocaría una pérdida de datos irreversible. Se informa a la víctima que el proceso de descifrado requiere el pago de un rescate en criptomoneda Bitcoin, sin especificar el monto específico.

La nota de rescate de Rajah no enumera ningún rescate BTC específico

El texto completo de la nota de rescate de Rajah dice lo siguiente:

XXX Sus datos han sido encriptados XXX

Para restaurar sus datos, escriba a rajah@airmail.cc

¡¡¡POR FAVOR LEA EL TEXTO A CONTINUACIÓN MUY CUIDADOSAMENTE!!!

1. Nadie devolverá tus datos excepto nosotros (no confíes en terceros)
2. Los programas antivirus y de recuperación dañarán permanentemente sus datos (¡ni siquiera nosotros podemos restaurarlos!)
3. El pago por la recuperación de tus datos se realiza en BITCOIN (BTC)!!! ¡¡¡SOLO BITCOIN!!!
4. Puede comprar BITCOIN (BTC) en el sitio web hxxps://www.binance.com/en (Pase un simple registro siguiendo las instrucciones en el sitio y luego compre BITCOIN (BTC)

Si has leído el texto anterior y necesitas tus datos, es hora de que nos escribas.

¿Cómo puede ransomware como Rajah entrar en su sistema?

Hay varias formas comunes a través de las cuales ransomware como Rajah puede infiltrarse en su sistema:

• Correos electrónicos de phishing: los ciberdelincuentes a menudo distribuyen ransomware a través de correos electrónicos de phishing. Crean correos electrónicos que parecen legítimos y convencen a los destinatarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados. Una vez abierto, el malware obtiene acceso al sistema y comienza a cifrar archivos.
• Descargas maliciosas: el ransomware se puede combinar con descargas aparentemente inofensivas de sitios web que no son de confianza o disfrazarse como actualizaciones de software legítimas. Cuando los usuarios, sin saberlo, descargan y ejecutan estos archivos maliciosos, el ransomware toma el control del sistema.
• Explotación de vulnerabilidades de software: los ciberdelincuentes explotan vulnerabilidades en sistemas operativos, programas de software o complementos para entregar ransomware. Si su sistema no está actualizado con los últimos parches de seguridad, se vuelve más susceptible a este tipo de ataques.
• Descargas ocultas: visitar sitios web comprometidos o maliciosos puede provocar descargas ocultas, en las que el malware se descarga e instala automáticamente sin la interacción del usuario. Esto puede ocurrir a través de kits de explotación que apuntan a vulnerabilidades en navegadores web o complementos.
• Dispositivos externos infectados: el ransomware puede propagarse a través de dispositivos externos infectados, como unidades USB o discos duros externos. Cuando estos dispositivos están conectados a su sistema, el malware puede iniciar su proceso de encriptación.