¿Qué es Snatch Ransomware y cómo eliminarlo?

Parece que los desarrolladores de crimeware nunca duermen mientras aumentan las defensas. Siempre están buscando diferentes formas de perfeccionar sus armas de ataque. Una de las técnicas más recientes es una cepa de ransomware que puede obligar a un dispositivo Windows a reiniciarse en modo seguro justo antes de que comience el cifrado, con la intención de eludir la protección del punto final.

Esta variedad en particular se conoce como Snatch debido a sus autores, quienes se refieren a sí mismos como Snatch Team. Fue descubierto por los investigadores de Sophos Labs, quienes describieron su descubrimiento junto con información sobre cómo estas pandillas ingresan a las empresas y otras entidades en su lista negra.

Vamos a explicar qué es el ransomware Snatch, cómo funciona y cómo puede eliminarlo de sus dispositivos.

¿Qué es el ransomware Snatch?

Snatch es una nueva variante de ransomware cuyo ejecutable obliga a los dispositivos de Windows a reiniciarse en modo seguro incluso antes de que comience el proceso de encriptación en un intento por eludir la protección de punto final que a menudo no se ejecuta en este modo.

Descubierto por los investigadores de SophosLabs y el equipo de Sophos Managed Threat Response, el ransomware snatch se encuentra entre los múltiples componentes de la constelación de malware que se utilizan en una serie continua de ataques cuidadosamente orquestados que incluyen una amplia recopilación de datos.

Snatch Ransomware Cómo eliminar el ataque

La nueva cepa del ransomware utiliza un método de infección único que aplica un cifrado AES sofisticado para que los usuarios cuyas máquinas estén infectadas no puedan acceder a sus archivos.

Snatch ransomware estuvo notablemente activo por primera vez en abril de 2019, pero se lanzó a fines de 2018. Sin embargo, el aumento en los archivos cifrados y las notas de rescate llevó a su descubrimiento y seguimiento por parte del equipo de investigadores de Sophos.

Su forma de virus criptográfico ataca objetivos de alto perfil, pero esta nueva cepa, creada con el programa Google Go, comprende una colección de herramientas que incluyen una función de robo de datos y ransomware. Además, tiene un shell inverso Cobalt Strike y otras herramientas utilizadas por los evaluadores de penetración y administradores de sistemas.

Nota:

Cómo funciona Snatch Ransomware

Como virus de bloqueo de archivos, el ransomware Snatch no tiene conexiones con otras cepas. Aún así, sus desarrolladores lanzaron nueve variantes de la amenaza, que agregan diferentes extensiones después de que los datos se cifran con el cifrado AES.

En relación :  Cómo desbloquear la SIM del Galaxy S10

El truco consiste en reiniciar las máquinas en modo seguro y luego el ransomware restringe el acceso a sus datos mediante el cifrado de sus archivos. Después de eso, los piratas informáticos intentan extorsionarte solicitando rescates en forma de Bitcoin a cambio de desbloquear tus archivos y devolverte el acceso a los datos.

Snatch ransomware Cómo eliminar funciona

Hay una razón por la que su truco funciona. Algunos programas antivirus no se inician en Modo seguro, y los desarrolladores descubrieron que podían modificar fácilmente una clave de registro de Windows y simplemente iniciar su máquina en Modo seguro. Por lo tanto, el ransomware se ejecuta sin ser detectado por su software de seguridad.

La primera vez que se instala en su dispositivo, viene a través de SuperBackupMan, un servicio de Windows, y se configura justo antes de que su computadora comience a reiniciarse para que no pueda detenerlo a tiempo.

Snatch Ransomware Cómo eliminar Superbackupman

Una vez instalado, los atacantes utilizan el acceso de administrador para ejecutar BCDEDIT, una herramienta de línea de comandos de Windows, para obligar a su computadora a reiniciarse en modo seguro de inmediato.

Luego crea un ejecutable con nombre aleatorio en su carpeta %AppData% o %LocalAppData%, que se iniciará y comenzará a escanear las letras de unidad de su computadora en busca de archivos para cifrar.

Archivos dirigidos por Snatch Ransomware

Hay extensiones de archivo específicas que cifra, incluidos .doc, .docx, .pdf, .xls y muchos otros, que infecta y cambia sus extensiones a Snatch para que no pueda volver a abrirlos.

El ransomware deja una nota de archivo de texto Readme_Restore_Files.txt, exigiendo entre uno y cinco Bitcoin a cambio de una clave de descifrado, con información sobre cómo comunicarse con los piratas informáticos para recuperar sus archivos de datos.

Snatch Ransomware Cómo eliminar el mensaje

Después de que el ransomware escanea su computadora por completo, usa vssadmin.exe, un comando de Windows para eliminar todas las instantáneas de volumen en ella para que no pueda recuperarlas y usarlas para restaurar archivos de datos cifrados. El paso final es encriptar cualquier archivo de datos en su disco duro.

Actualmente, los archivos infectados no se pueden descifrar debido a la naturaleza sofisticada del cifrado AES utilizado. Sin embargo, aún tiene un salvavidas si su computadora está infectada al restaurar sus archivos desde la copia de seguridad más reciente.

Snatch Ransomware Cómo eliminar File Hostage

Snatch ransomware ha estado apuntando a usuarios habituales a través de correos electrónicos no deseados. Pero hoy, los principales objetivos son las corporaciones. Al pagar a estos delincuentes, no solo pierde dinero y no tiene garantía de que le enviarán la clave de descifrado, sino que también los alienta a continuar con su ciberdelincuencia.

En relación :  Cómo configurar Outlook como aplicación de correo predeterminada en iOS 14 en iPhone

Si no tiene una copia de seguridad actualizada, no hay mucho más que pueda hacer aparte de esperar hasta que los expertos en seguridad presenten un descifrador de ransomware Snatch. Eso podría llevar mucho tiempo, pero hay otras formas de protegerse de tales ataques.

Cómo eliminar Snatch Ransomware de su computadora

Una de las mejores maneras de eliminar el ransomware Snatch y otro malware es instalar un buen software de seguridad antivirus como Malwarebytes o SpyHunter que puede escanear, detectar y eliminar la amenaza. No todos los motores antivirus pueden detectarlo porque es un malware completamente nuevo, por lo que es bueno escanear usando varios programas.

Puede protegerse a sí mismo y a sus dispositivos contra ataques de ransomware siguiendo pasos simples como descargar software de fuentes confiables y evitar abrir archivos adjuntos de correo electrónico de fuentes no confiables.

Snatch Ransomware Cómo eliminar tipos de archivos

Otras formas en que puede protegerse a sí mismo y a su organización de Snatch y otros tipos de ransomware incluyen:

  • Mantenga un sistema operativo actualizado y siga haciendo copias de seguridad de sus datos.
  • Realice auditorías periódicas de contraseñas.
  • Implemente un software de seguridad integral de varias capas para proteger todos los puntos de entrada contra un ataque de ransomware.
  • Proteger las herramientas de acceso remoto y otros programas vulnerables porque los atacantes de Snatch contratan a otros delincuentes con experiencia en el uso de shells web o capaces de piratear servidores SQL mediante ataques de inyección.
  • Proteja su interfaz de Escritorio remoto colocándolos detrás de una VPN en su red para que las personas no accedan a ellos sin credenciales de VPN.
  • Ejecute controles regulares y exhaustivos en todos los dispositivos de su hogar u organización para asegurarse de que estén protegidos y monitoreados mientras Snatch aprovecha dichos puntos de acceso y puntos de apoyo para obtener acceso.
  • Configure y use la autenticación multifactor para cualquier administrador de su organización para que los atacantes no puedan forzar sus credenciales.
  • Realice una búsqueda completa de amenazas en su red para identificar dicha actividad antes de la infección.

Proteja su sistema

Snatch ransomware puede parecer casi mortal en la forma en que funciona para paralizar sus archivos y dispositivos. Antes de pensar en pagar ese rescate, pruebe los pasos anteriores para eliminar la amenaza y siempre tome medidas preventivas para asegurarse de que esta y otras amenazas no aparezcan en su computadora o red.

A continuación: Si sospecha que su teléfono está infectado con ransomware, consulte nuestro próximo artículo para averiguar cómo detectarlo y eliminarlo.

Moyens Staff
Moyens I/O Staff te ha motivado, brindándote asesoría en tecnología, desarrollo personal, estilo de vida y estrategias que te ayudarán.