Paradise

Así funciona el peligroso ransomware Paradise que usa cifrado RSA

El ransomware es la peor amenaza informática a la que todos los usuarios, y todas las empresas, nos hemos enfrentado. Este tipo de malware ataca directamente a lo más valioso, los datos, los cuales, una vez se toma una víctima, cifra y pide un rescate a cambio de la supuesta clave con la que descifrar los datos, clave que, en muchas ocasiones, ni siquiera llega a quien ha pagado el rescate. Dentro de este tipo de malware, además, existen una gran variedad de variantes, cada una con unas características, un comportamiento y, por supuesto, unos algoritmos de cifrado que buscan impedir que los usuarios recuperen sus datos si no pagan, como hace el ransomware Paradise.

Este ransomware no es precisamente nuevo , sino más bie desconocido debido a que aún no se ha estudiado con detenimiento. Sin embargo, los expertos de seguridad de Bleeping Computer estudiado esta amenaza, debido a que han sido capaces de coger una muestra del ransomware Paradise. Por lo cual van a entender un poco mejor cómo funciona, ya que cada vez está más activo en la red.

El ransomware Paradise funciona como un RaaS (Ransomware as a Service), es decir, en lugar de vender el malware como tal, ellos tienen el código, los binarios y solo alquilan el servidor de control al mejor postor para que pueda llevar a cabo sus ataques informáticos.

Actualmente, no se sabe cómo logra entrar este ramsomware en los sitemas, pero pensabamos que lo más probable es que sea a través de correos electrónicos , por ejemplo haciendose pasar por haciendo, como ya hemos visto en otros ransomware similares. También , se puede contagiar a través de sesiones de escritorio remoto, mediante el mstsc (conexión a escritorio remoto), o bien con el TeamViewer. Una vez el ordenador infectado por el ransomware, se ejecuta a sí mismo con persimos de administrador y genera una clave única RSA-1024, utilizada para cifrar todos los datos del disco duro.

Paradise cifra los datos de los usuarios y, aunque respeta su nombre, cambia la extensión por un conjunto de caracteres al azar, entre los cuales copia el correo a través del cual intentar recuperar los datos secuestrados. Por ejemplo, un fichero de prueba “test.jpg” se cifraría como “test.jpgid-3VwVCmhU.[[email protected]].paradise”.

Este ransomware , además de infectar todo el ordenador local, también afecta a todos los ordenadores que están conectados a la misma red y a los pendrives , disco duros que está conectados a dicho ordenador infectado.

Cómo protegernos del ransomware Paradise

Debido al cifrado RSA, este ransomware tiene el inconveniente de que actúa muy lento y, además, utiliza muchos recursos. La mejor solución si nos damos cuenta a tiempo , es preferiblemente apagar el ordenador para que el ransomware no siga encriptando toda la información del ordenador. Debido a que el fichero DecriptionInfo.auth guarda toda la información del cifrado.

También es recomendable tener nuestro Windows , y todas las aplicacioes instaladas en él , totalmente actualizadas. Además, también es recomendable utilizar software antivirus actualizados y fiables, así podemos evitar descargar archivos potencialmente sospechosos desde Internet y desde el correo electrónico.

Por último , cabe destacar que actualmente no hay forma de recuperar los datos encriptados por este ransomware de forma gratuita, pero los expertos de seguridad están trabajando en ello para intentar encontrar alguna debilidad en dicho ransomware , y hacer un algoritmo que les permita crear una herramienta de descifrado para que las víctimas puedan recuperar sus datos.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *