Ransomware 7ev3n demanda 13 Bitcoins

0

RansomwareLos investigadores de laboratorios de seguridad han destapado un nuevo tipo de Ransomware para Windows, que “pone patas arriba” su sistema y, algo que lo hace especial, solicita un rescate inusualmente elevado, de nada menos que 13 Bitcoins: hablamos del ransomware 7ev3n.

Ransomware 7ev3n para Windows demanda 13 Bitcoins

En la página web de Bleeping Computer (donde tienen ya dilatada experiencia enfrentándose a muestras de Ransomware) explican como este ransomare llamado 7ev3n cifra todos los archivos DOC, JPG, PDF y otros tipos de archivo de uso común:

Cuando se infecta un equipo, el ransomware empezará a revisar las unidades en busca de ciertos archivos sobre los que realizar modificaciones, para renombrarlos después con la extensión .R5A calculada en base a una secuencia numérica según su contenedor. Por ejemplo, si una carpeta contiene 25 archivos, el ransomware la cifrará y renombrará todos los archivos secuencialmente como 1.R5A, 2.R5A, 3.R5A … 25.R5A.

Funcionamiento del  ransomware 7ev3n

Una vez que el ransomware ha infectado con éxito el equipo de la víctima, mostrará un mensaje informativo para demandr el pago de los 13 BTC, al cambio unos 5000 €. En la nota informativa se incluye una dirección de Bitcoin donde debe efectuarse el pago:

Ransomware 7ev3n

Por si fuera poco el hecho de tener que pagar miles de Euros para recuperar los datos, 7ev3n también se instala en ciertos directorios como la carpeta %LocalAppData%, por ejemplo en %LocalAppData%\system.exe, donde se ubica el ejecutable principal del ransomware, %LocalAppData%\del.bat, que elimina el instalador del ransomware 7ev3n, y fnalmente %LocalAppData%\time.e, que contiene una marca temporal que marca el comienzo de la infección.

Sin embargo, el poder destructivo de estos archivos palidece en comparación con el archivo situado en %LocalAppData%\bcd.bat. En este directorio se almacenarán diferentes comandos BCDEDIT, que desactivarán mecanismos de recuperación ante fallos del propio sistema operativo Windows: Reparación de inicio, Editor de opciones de inicio, etc.

Ransomware 7ev3n

Ahora que 7ev3n ha bloqueado de manera efectiva tu capacidad de recuperar el sistema, añadirá una entrada de registro que desactiva claves de registro normalmente utilizadas por Windows para diagnosticar problemas, como la combinación de teclas ALT+TAB, el Administrador de Tareas y el menú Ejecutar. Esto lo consigue añadiendo un valor de registro especial que desactiva las teclas F1, F10, F3, F4, intro, escape, las teclas de dirección, CTRL izdo, tecla de Windows, bloqueo numérico, ALT, CTRL dcho y algunas más.

¿Es posible recuperar archivos cifrados por 7ev3n?

No olvides instalar un antivirus fiable para poder eliminar correctamente todo resto de la infección

De momento, no existe una forma efectiva de recuperar archivos cifrados por este ransomware, salvo que contemos con una copia de seguridad sana. Incluso suponiendo que el usuario consiga recuperar el control del sistema, deberá invertir una gran cantidad de tiempo restableciendo los daños y modificaciones causadas por el ransomware 7ev3n. Una vez se consiga esto, el usuario podrá entrar al sistema en modo seguro y eliminar todos los archivos creados por el ransomware.

Ransomware 7ev3n

Podemos ver una evolución en el panorama del ransomware para Windows: no sólo sus creadores están exigiendo rescates cada vez mayores para los archivos, sino que causan cada vez mayores daños al sistema comprometido.

Teniendo esto en cuenta, el usuario debe extremar la precaución más que nunca antes, teniendo en cuenta lo siguiente:

  1. Mantener el software de sistema actualizado, sobre todo suites ofimáticas y sistema operativo
  2. Utilizar un buen antivirus, bien configurado y actualizado
  3. Backups: es extremadamente importante realizar backups de nuestra información y protegerlos bien.

Valora y comparte!

  • User Ratings (1 Votes)
    9.1
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR