Detectado por primera vez en 2011, Ramnit afecta a sistemas operativos Windows. Una vez logra infectar el equipo, ese ordenador pasa a forma parte de una red debots (botnet), controlada de forma remota y utilizada para todo tipo de objetivos maliciosos. Por ejemplo, monitorizar nuestra navegación para detectar el uso de banca online, robar las cookies de sesión de los navegadores para suplantar nuestra identidad en sitios seguros o incluso escanear los discos duros del ordenador infectado y robar los archivos que contengan determinadas palabras clave (como contraseñas).
Según la Oficina de Seguridad del Internauta, la propagación de este gusano se produce a través de enlaces de confianza enviados en correos electrónicos de phishing y también en publicaciones de redes sociales. Asimismo, se ha detectado el uso de servidores FTP públicos para la distribución del malware.
Ahora, los investigadores de Check Point han descubierto una nueva botnet de Ramnit -denominada “Black”-, que lleva activa desde el 6 de marzo de 2018 y que sería la responsable de haber infectado a unos 10.000 ordenadores. Este nuevo servidor de Ramnit no está relacionado con "Demetra", la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los botsantiguos, que se vieron por primera vez en 2015. Estas son las características de la nueva botnet reveladas por Check Point:
Muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios).
El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber.
Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit.
Ramnit se usa como instalador de otro malwarellamado Ngioweb.
¿Y cómo opera este malware?Los investigadores explican que el virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.
Cómo desinfectar un equipo
Si tu ordenador ha caído en manos de una de estas botnets, calma porque no está todo perdido. Puedes recurrir a las herramientas gratuitas de limpieza ocleaners como las que señala la Oficina de Seguridad del Internauta (además de las propias soluciones antivirus de las que ya dispongas). La recomendación de los expertos es que utilices dos de ellas para incrementar las posibilidades de desinfección.
En primer lugar, puedes pasar al equipo Kaspersky Virus Removal Tool o Sophos Virus Removal Tool. Una vez completado el análisis y eliminación de los virus, desinstala el cleaner que hayas utilizado y pasa otro de estos dos: Panda Cloud Cleaner o Norton Power Erase
Cómo prevenir y combatir un ataque de ransomware
No pagues rescate
El ransomware es un tipo de malware capaz de “secuestrar” el equipo de un usuario. Utilizando este ataque, los ciberdelincuentes exigen a la víctima dinero (o bitcoins) a cambio de devolverle el acceso a su sistema, aunque pagar no te garantiza que cumplan lo prometido y, además, estarás contribuyendo a que haya más víctimas. Algunos de los ataques masivos de ransomware más famosos de estos últimos años han sido WannaCry y Petya, que aunque no provocaron grandes daños económicos sí consiguieron sembrar el caos durante unas semanas.
El ransomware suele llegar como ejecutable o archivo adjunto en un email y, una vez abierto, se propaga muy rápidamente por el equipo, aunque puedes tardar en darte cuenta de que está infectado. Existen además distintos tipos de ransomware. El más común es el de cifrado de los archivos originales (imágenes, vídeos, documentos de texto, bases de datos, etc.) por los atacantes, impidiendo acceder a ellos a su legítimo propietario. Al intentar abrirlos, en la misma carpeta te aparecerá un archivo de notas con las instrucciones para pagar el rescate. En otros casos, puede aparecer una pantalla de bloqueo en el equipo que te avise del secuestro y te solicite el pago. Por cierto, también los dispositivos móviles pueden sufrir ataques de ransomwarea través de las descargas y las apps no oficiales.
Más vale prevenir que curar
Recuperar tus archivos una vez que has sufrido un ataque de ransomware puede resultar bastante difícil según cuál sea la variante utilizada, y a lo mejor no te queda más remedio que formatear. Por eso, la primera norma básica es tener copia de seguridad (física y/o en la nube) de todos tus archivos importantes. Otra recomendación a tener en cuenta es mantener siempre actualizado el antivirus y el sistema operativo.
En cuanto a la detección de los archivos y enlaces maliciosos, desconfía de los correos mal redactados, nunca abras adjuntos de remitentes desconocidos y comprueba todas las veces que sean necesarias los nombres de dominio. Máxima precaución con las extensiones .exe, .vbs y .scr. Por último, si sospechas que estás sufriendo un ataque, desconecta el equipo de la red.
Recuperar tus datos
Si tienes la mala suerte de sufrir un ataque de este tipo, lo primero es saber de quéransomware se trata para intentar desencriptar los archivos que han sido cifrados por los ciberdelincuentes (sin pagar el rescate, claro). Para ello, puedes utilizar herramientas online como el Crypto Sheriff de NoMoreRansomware. La mala noticia es que no todos los tipos de ransomware tienen solución por ahora, pero variantes comunes como Annabelle, Gandcrab o Cry128 sí pueden ser descifrados.
Una vez que subas los archivos a escanear (no pueden superar 1 MB) y la nota de rescate dejada por los atacantes, si existe herramienta de descifrado disponible, esta web te la facilitará. Antes de descargar e instalar la solución, debes asegurarte de haber eliminado el malware del sistema (puedes comprobarlo con el antivirus), ya que si no podría volver a bloquear el equipo.
Entradas
