El ransomware Snatch reinicia el equipo en modo seguro para desactivar tu antivirus

ransomware

Los creadores de malware y amenazas varias no paran de renovarse, en un ciclo que nunca acaba. Se esfuerzan mucho por pasar desapercibidos una vez que entran en el sistema, ya que eso les garantiza una mayor persistencia.

El reciente ransomware Snatch reinicia el PC una vez infectado, para que tu antivirus no tenga posibilidad de intervenir posteriormente.

El Modo seguro de Windows es un método de acceso de emergencia que se usa para recuperarlo y hacer dianósticos cuando se producen fallos. ¿Por qué interesa el modo seguro a este ransomware?

El ransomware Snatch se aprovecha del Modo Seguro de Windows

Lo que pasa es que el Modo Seguro se encarga de impedir que cualquier aplicación pueda interferir con el funcionamiento mínimo del sistema, así que solo se carga el esqueleto de Windows con servicios básicos. Esto evita por supuesto cualquier programa de seguridad como puede ser tu antivirus.

Los investigadores de Sophos han elaborado un vídeo demostrativo donde se puede ver como opera el ransomware.

El ransomware se instala a sí mismo como un servicio de Windows con el nombre SuperBackupMan. El servicio tiene la descripción que sigue: «Este servicio realiza copias de seguridad a diario».

Pretenden camuflarlo en el listado de servicios, aunque no hay tiempo de mirar mucho. La clave de registro se establece inmediatamente antes de que el equipo se reinicie. Esta clave de registro se emplea para que durante el reinicio en modo seguro el ransomware arranque con Windows.

Los expertos de Sophos han encontrado evidencias de algunos ataques en diferentes países contra empresas, todos ellos han presentado a posteriori algún equipo con servicio RDP (Escritorio Remoto) expuesto a internet.

Lo preocupante es que los responsables de Snatch están expandiendo la amenaza, no sólo con fines lucrativos, sino que además pretenden evadir datos de la red afectada, con intención de continuar más adelante con nuevas demandas de dinero.

Recomendaciones para salvarnos de este ransomware

Su recomendación además de parchear y ejecutar antivirus fiables y actualizados, es la siguiente:

Sophos recomienda a las empresas de cualquier tamaño evitar a toda costa la exposición de servicios como RDP a internet directamente. Aquellas empresas que deseen permitir este tipo de acceso deberían emplear una VPN para permitir la entrada a esos recursos, de forma que no puedan ser alcanzados por cualquiera sin las correspondientes credenciales VPN.

Y tienen toda la razón.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.