Pres Ransomware: una peligrosa amenaza de la familia Dharma
Table of Contents
Entendiendo el ransomware Pres
El ransomware Pres es una amenazante incorporación a la familia de ransomware Dharma . Al igual que sus predecesores, Pres cifra los archivos de las víctimas y exige un rescate a cambio de su recuperación. Lo que hace a esta variante particularmente identificable es la forma en que renombra los archivos cifrados. Añade el ID único de la víctima, una dirección de correo electrónico de contacto y la extensión ".pres" a cada nombre de archivo. Por ejemplo, un archivo originalmente llamado "document.pdf" aparecería como "document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres" después del cifrado.
Además de cifrar los archivos, Pres muestra una nota de rescate emergente y coloca un archivo de texto llamado "info.txt" en los directorios infectados. El mensaje informa a las víctimas de que sus archivos han sido cifrados y proporciona instrucciones para contactar con los atacantes por correo electrónico. Las víctimas deben enviar su ID único a una de estas dos direcciones: helpreserve@onionmail.org o helpreserve@cyberfear.com.
Lo que quieren los atacantes
La nota de rescate intenta parecer útil e incluso tranquilizadora. Afirma que los archivos de la víctima pueden recuperarse y ofrece descifrar hasta tres archivos pequeños y no confidenciales de forma gratuita como prueba. Sin embargo, estos archivos de muestra no deben superar los 3 MB en total ni pueden incluir copias de seguridad, bases de datos ni hojas de cálculo de gran tamaño. La nota también advierte que renombrar archivos o usar herramientas de recuperación de terceros puede causar daños irreversibles.
En una táctica clásica de manipulación psicológica, los atacantes desaconsejan involucrar a terceros, alegando que esto podría aumentar el costo del rescate. Esto busca aislar a la víctima y aumentar su confianza en las promesas de los atacantes, a pesar del alto riesgo de no recibir ninguna herramienta de descifrado tras el pago.
Esto es lo que afirma la nota de rescate:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Cómo funcionan Pres y otros programas de ransomware
El ransomware como Pres está diseñado para secuestrar los datos de los usuarios cifrándolos con algoritmos robustos. Una vez cifrados, los archivos se vuelven inutilizables a menos que se descifren con una clave única, que solo poseen los atacantes. Las víctimas suelen verse obligadas a tomar una decisión difícil: pagar el rescate y esperar que los atacantes cumplan su palabra, o intentar recuperarlos por otros medios.
El ransomware Pres no se limita a cifrar archivos. También elimina las instantáneas de volumen (usadas por Windows para las copias de seguridad), desactiva el firewall para evitar ser detectado e intenta mantener su persistencia copiándose en una ubicación oculta del sistema y alterando el registro de Windows. Estas tácticas buscan garantizar que el ransomware pueda ejecutarse incluso después de reiniciar el sistema y resistir los intentos de eliminación.
Los riesgos de pagar el rescate
Aunque pagar el rescate pueda parecer la vía más rápida para recuperarse, es una apuesta arriesgada sin recompensa garantizada. Los atacantes podrían tomar el dinero y desaparecer, o proporcionar una clave de descifrado defectuosa o parcial. Además, pagar solo fomenta la actividad cibercriminal y hace que el ransomware sea más rentable y atractivo para los atacantes.
En la mayoría de los casos, la recuperación sin copias de seguridad ni herramientas oficiales de descifrado es extremadamente difícil. Desafortunadamente, las copias de seguridad almacenadas en dispositivos conectados o infectados también pueden verse comprometidas. Por lo tanto, es fundamental implementar prácticas de copia de seguridad eficaces, como almacenar copias en unidades externas desconectadas o en servicios seguros en la nube.
Cómo se propaga el ransomware Pres
Las infecciones de ransomware Pres suelen ser resultado de una seguridad deficiente del Protocolo de Escritorio Remoto (RDP) . Los ciberdelincuentes suelen explotar servicios RDP mal protegidos mediante ataques de fuerza bruta o de diccionario para obtener acceso no autorizado. Una vez dentro, instalan el ransomware manualmente.
Otros métodos de infección incluyen correos electrónicos de phishing con archivos adjuntos o enlaces maliciosos, descargas no autorizadas de sitios web poco fiables, software pirateado con malware incluido y anuncios engañosos. Los usuarios también pueden encontrarse con ransomware a través de redes P2P o solicitudes falsas de actualización de software. El malware suele camuflarse como un programa o documento legítimo, engañando a los usuarios para que activen la infección.
Cómo mantenerse protegido
Prevenir ransomware como Pres comienza con un comportamiento inteligente en línea y medidas sólidas de ciberseguridad. Evite descargar software de sitios web no oficiales, evite programas piratas o generadores de claves, y nunca habilite macros en documentos de Office desconocidos. Tenga especial cuidado con los archivos adjuntos o enlaces de correo electrónico de fuentes desconocidas, incluso si parecen urgentes o importantes.
Actualice su sistema operativo y software periódicamente para corregir las vulnerabilidades conocidas. Utilice herramientas antivirus fiables que incluyan funciones de protección en tiempo real. Realice copias de seguridad de sus datos importantes con frecuencia y guárdelas en ubicaciones seguras y sin conexión.
Reflexiones finales
El ransomware Pres es otro ejemplo de lo sofisticadas y destructivas que se han vuelto las amenazas modernas de ransomware. Combina sigilo técnico con manipulación social para presionar a las víctimas a pagar rescates que podrían no permitir la recuperación de archivos. Al mantenerse alerta, seguir las mejores prácticas de ciberseguridad y mantener copias de seguridad seguras, los usuarios y las organizaciones pueden reducir considerablemente los riesgos que corren al enfrentarse a estas estafas de extorsión digital.
