Nuevo Ransomware creado en Javascript

RAA Ransomware

 

Los expertos en seguridad informática @JAMESWT_MHT and @benkow_ han descubierto y bautizado un nuevo virus ransomware que ha sido creado totalemente en Javascript.

Los Ransomware son un tipo de virus que tienen como finalidad cobrar un rescate por los datos que tenemos en nuestros discos rígidos, para ello, se valen de una encriptación bastante fuerte a nuestros archivos en todas nuestras unidades grabables conectadas en nuesta computadora y el pago debe hacerse por medio de Bitcoins. El precio del rescate suele variar entre 250 y 350 dólares pagados mediante la famosa criptomoneda.

Los consejos generales para evitar que nuestra máquina sea tomada de rehén por un ransomware es evitar abrir archivos .zip .arg .exe .dll y similares que vienen por correo o se descargan de una web, también los archivos del tipo office (.doc .xls .pps) pueden contener el virus en un macro, para ello debemos elevar la seguridad de los macros o directamente deshabilitar la opción, esto lo hacemos en nuestro programa del tipo Office.

La extensión del archivo RAA es .js y debemos evitar abrirlo o descargarlo de internet, es probable que el archivo parezca un archivo de documento de texto, ya que el ícono puede aparentar esa forma si estamos un poco distraidos. El nombre del archivo puede ser algo parecido a esto nombrearchivo_doc_.js.

Lamentablemente si has abierto el archivo el virus empezará a encriptar toda la información de tu disco. Nos preguntamos que tan efectivo será desconectar la PC de la energía electrica si nos damos cuenta en el momento, que estamos infectados. No hemos hecho pruebas, pero calculamos que el proceso de encriptación debe tardar algunos minutos. Tal vez luego sacando los rígidos se pueda recuperar parte de la información.

Para distraerte el RAA abre un archivo del tipo word que parece indicar que dicho archivo no puede abrirse porque está corrupto.

A diferencia de otros virus ransomwares el RAA borra la copia «shadow» que deja windows cuando se borra un archivo. Además el RAA viene con otro virus programado dentro del mismo código denominado Pony, que roba todas las contraseñas de tu computadora y las envía a los servidores de los hackers.
También busca billeteras del tipo Bitcoin y roba las claves.
(Recomendamos tener una copia de las contraseñas fuera de la máquina para poder saber que hay que cambiar todo)

Los descubridores del virus han abierto un hilo de soporte en su foro, al cual pueden visitar en el siguiente enlace:
www.bleepingcomputer.com/forums/t/617210/raa-sep-locked-ransomware-help-support-topic-readmeidrtf

Cuando la víctima hace doble click en el archivo o lo ejecuta por accidente, Windows lo arranca con sus servicio Windows Script Host (wscript.exe). Más adelante explicaremos como desactivar este servicio. La computadora sigue funcionando, pero los archivos que encripta son los más importantes y habituales que usamos, es decir una lista de archivos del tipo: .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv (Se los encripta y quedan con una extensión .locked) Además de un mensaje que suele estar en idioma ruso donde nos dan las indicaciones de como pagar el rescate por nuestros archivos.

El precio que se está pidiendo es inferior a otros ransomwares, unos 0.39 Bitcoin.

Las medidas habituales para estar lo más protegidos posible son:
Tener un antivirus actualizado, no abrir archivos adjuntos que vengan por correo, aún de direcciones conocidas, solo descargar programas de sitios webs que se tenga la seguridad que no contienen virus; trabajar con usuarios sin privilegios de administrador, hacer copias de seguridad en dispositivos externos, usar solo software legal o de conocido Open Source, (Ver nuestra sección de programas recomendados para Pc)

Para ransomwares hay un antivirus específico de Open Source, el cual no probamos y por lo tanto no podemos aconsejar, pero es bueno nombrarlo para que el lector de estas líneas lo busque y saque sus propias conclusiones, se llama Anti Ransom v3 desarrollado por el experto en seguridad Yago Jesús.

Como protegerse del RAA Ransomware:

La mayoría de las personas solo necesitan ejecutar Javascript cuando están navegando por interner, así que a continuación explicaremos como desactivar este servicio del registro de Windows.

    1. En inicio de windows tipear y buscar «Regedit», ejecutar el programa.
    2. Hacer click en HKEY_LOCAL_MACHINE
    3. Hacer click en Software
    4. Hacer click en Microsoft
    5. Hacer click en Windows Script Host
    6. Hacer click en Settings

Luego con el botón derecho del mouse, seleccionar «nuevo» luego en «Valor de Dword», a ese nuevo valor lo llamamos «Enabled» y le damos valor cero «0» (Como podemos observar en la imagen siguiente)

Raa Ransomware

 

IMPORTANTE: aún todas las medidas de seguridad sugerida en esta nota no podemos garantizar que una versión mejorada del RAA Ransomware logre infectar a su ordenador