Ya está disponible para descargar un nuevo descifrador para el ransomware RanHassan. Aislada por primera vez en mayo de 2022, esta familia de ransomware parece apuntar principalmente a víctimas en India y países de habla árabe.
Los signos reveladores de una infección de RanHassan son la presencia de notas de rescate llamadas ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta referencias [dc.dcrypt@tutanota.com](mailto:dc.dcrypt@tutanota.com)y [dc.dcrypt@mailfence.com](mailto:dc.dcrypt@mailfence.com).
Cómo descifrar archivos rescatados
Paso 1 : descargue la herramienta de descifrado a continuación y guárdela en el dispositivo infectado:
Paso 2 : Ejecute la herramienta y acepte el Acuerdo de licencia de usuario final.
Paso 3 : seleccione una carpeta para buscar archivos cifrados o deje que la herramienta encuentre todos los archivos en el sistema. Para que la herramienta identifique las claves correctas, necesita al menos un archivo cifrado y su versión sin cifrar.
Paso 4 : inicie el proceso de descifrado y deje que la herramienta se ejecute hasta que se descifren todos los archivos.
Ejecución silenciosa (a través de cmdline)
La herramienta también se puede ejecutar de forma silenciosa a través de una línea de comandos. Si necesita automatizar la implementación de la herramienta dentro de una red grande, es posible que desee utilizar esta función.
• -help– proporcionará información sobre cómo ejecutar la herramienta de forma silenciosa (esta información se escribirá en el archivo de registro, no en la consola)
• start – este argumento permite que la herramienta se ejecute en silencio (sin GUI)
• -scan-path – este argumento especifica la ruta que contiene los archivos cifrados
• -full-scan – habilitará la opción Escanear todo el sistema (ignorando el argumento -scan-path)
• -disable-backup – desactivará la opción de copia de seguridad del archivo
• -replace-existing – habilitará la opción Reemplazar archivos previamente descifrados
• -test-path– especifica una carpeta que contiene pares de archivos limpios y cifrados
Ejemplos:
BDRanHassanDecryptTool.exe start -scan-path: C:\ -> la herramienta se iniciará sin GUI y escaneará C:\
BDRanHassanDecryptTool.exe start -full-scan -> la herramienta comenzará sin GUI y escaneará todo el sistema
BDRanHassanDecryptTool.exe start-escaneado completo -reemplazar-existente -> la herramienta escaneará todo el sistema y sobrescribirá los archivos limpios presentes
Reconocimiento
Este producto incluye software desarrollado por OpenSSL Project, para uso en OpenSSL Toolkit ( http://www.openssl.org/ )
K7Security Labs ha publicado un análisis técnico de RanHassan (DCDcrypt) aqui.
Acabamos de lanzar un descifrador para la familia de ransomware MegaCortex. Este descifrador fue construido en cooperación con Europol, el Proyecto NoMoreRansom, la Oficina del Fiscal Público de Zürich y la Policía Cantonal de Zürich.
Contexto
En octubre de 2021, doce personas fueron arrestadas en una operación policial internacional contra los ransomware Dharma, MegaCortex y LockerGoga.
Este grupo fue responsable de unas 1.800 infecciones, en su mayoría dirigidas a empresas. Siguiendo el descifrador de LockerGoga , ahora lanzamos una herramienta universal para las infecciones de MegaCortex.
Recupera tus datos
Nota importante: las víctimas con datos cifrados por las versiones 2 a 4 necesitan la nota de rescate (p. ej., “!!READ_ME!!!.TXT”, “!-!README!-!.RTF”, etc.). El descifrado de MegaCortex V1 (los archivos cifrados tienen la extensión «.aes128ctr» adjunta) requiere la presencia de la nota de rescate y el archivo de registro TSV (por ejemplo, «fracxidg.tsv») creado por el ransomware.
Si usted o su empresa se han visto afectados por MegaCortex, ahora puede usar la herramienta a continuación para recuperar sus archivos de forma gratuita. Tenemos un tutorial paso a paso sobre cómo operar el descifrador tanto en modo de una sola computadora como de red.
Ya está disponible para descargar un nuevo descifrador para el ransomware MortalKombat. Bitdefender ha estado monitoreando la familia de ransomware MortalKombat desde que apareció por primera vez en línea en enero de este año.
Basado en el ransomware Xorist, MortalKombat se propaga a través de correos electrónicos de phishing y apunta a instancias RDP expuestas. El malware se planta a través del BAT Loader que también entrega el malware Laplas Clipper. Una descripción detallada del ransomware está disponible en esta publicación de blog de Cisco Talos .
Signos de infección
Una vez ejecutado, MortalKombat Ransomware cifra los datos y genera archivos con una extensión específica:..Remember_you_got_only_24_hours_to_make_the_payment_
if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware. También cambia el fondo de escritorio para darle un tema de Mortal Kombat y genera una nota de rescate llamada HOW TO DECRYPT FILES.txt.
Descifrador gratuito al rescate
Bitdefender ha lanzado un descifrador universal gratuito para la versión actual de MortalKombat, disponible a continuación:
La herramienta también se puede ejecutar de forma silenciosa a través de una línea de comandos. Si necesita automatizar la implementación de la herramienta dentro de una red grande, es posible que desee utilizar esta función.
-help– proporcionará información sobre cómo ejecutar la herramienta de forma silenciosa (esta información se escribirá en el archivo de registro, no en la consola)
start– este argumento permite que la herramienta se ejecute en silencio (sin GUI)
-scan-path– este argumento especifica la ruta que contiene los archivos cifrados
• -full-scan– habilitará la opción Escanear todo el sistema (ignorando el argumento -scan-path)
• -disable-backup– desactivará la opción de copia de seguridad del archivo
• -replace-existing– habilitará la opción Reemplazar archivos previamente descifrados
Ejemplos:
BDMortalKombatDecryptTool.exe start -scan-path:C:\-> la herramienta comenzará sin GUI y escanearáC:\
BDMortalKombatDecryptTool.exe start -full-scan-> la herramienta comenzará sin GUI y escaneará todo el sistema
BDMortalKombatDecryptTool.exe start -full-scan -replace-existing-> la herramienta escaneará todo el sistema y sobrescribirá los archivos limpios presentes.
El renombrado laboratorio de pruebas de antivirus austriaco AV-Comparatives ha publicado su Consumer Summary Report 2022, otorgando a Bitdefender el codiciado premio al «Producto del año» por quinta vez, más que cualquier otro proveedor en la última década.
AV-Comparatives probó rigurosamente 17 productos de seguridad para el consumidor para medir su capacidad para defenderse de las amenazas de Internet del mundo real, el malware completamente nuevo y los ataques dirigidos avanzados, todo mientras evita la tensión en los recursos del sistema de la PC.
Bitdefender Antivirus, que ha sido seleccionado como el producto del año 5 veces en los últimos 10 años, destaca como la solución de seguridad cibernética más exitosa en este campo y en comparación con sus competidores.
Protección fiable a lo largo del tiempo
Nuestra tecnología antivirus central obtiene constantemente puntajes perfectos y casi perfectos en pruebas independientes en varias organizaciones de la industria; Diseñado para proteger a los usuarios contra malware, phishing, sitios web maliciosos, Además incluye otras características clave como firewall, filtro de correo no deseado, administrador de contraseñas, triturador de archivos, controles parentales y más.
Por ejemplo, en la Prueba de Protección contra Amenazas Avanzadas (ATP) de AV-Comp, Bitdefender Internet Security emergió como el producto más recomendado después de su desempeño estelar en una amplia gama de escenarios de ataques dirigidos, desde ingeniería social hasta malware y código malicioso puro inyectado directamente en la memoria. (ataques sin archivos).
Una nueva campaña de malware aprovechó versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación. Los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent.
Mandiant (firma estadounidense de ciberseguridad y una subsidiaria de Google), descubrió el ataque de «socially engineered supply chain» a mediados de julio de 2022.
«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dijo la compañía de ciberseguridad en un análisis técnico profundo que realizaron.
El archivo ISO, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.
Las herramientas adicionales que se instalaban son: una herramienta proxy de código abierto, un backdoor liviano que permite al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.
En algunos casos, el atacante intentó descargar el navegador TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.
Para prevenir este tipo de situación es importante aplicar el principio de seguridad informática de la Autenticidad, que nos indica que debemos verificar que la fuente y el archivo en cuestión son auténticos.