¿Qué es el Snatch Ransomware y cómo eliminarlo?

Parece que los desarrolladores de software de crimen nunca duermen cuando las defensas se elevan. Siempre están buscando diferentes formas de perfeccionar sus armas de ataque. Una de las técnicas más recientes es un rescate que puede forzar a un dispositivo de Windows a reiniciarse en modo seguro justo antes de que comience la encriptación, con la intención de evitar la protección de los puntos finales.

Esta cepa en particular se conoce como Snatch debido a sus autores, que se refieren a sí mismos como el Equipo Snatch. Fue descubierta por los investigadores de Sophos Labs, quienes esbozaron su descubrimiento junto con la comprensión de cómo tales bandas irrumpen en empresas y otras entidades de su lista de objetivos.

Vamos a explicar qué es el Snatch ransomware, cómo funciona y cómo puedes quitarlo de tus dispositivos.

¿Qué es el Snatch Ransomware

Snatch es una nueva variante de rescate cuyo ejecutable obliga a los dispositivos de Windows a reiniciarse en modo seguro incluso antes de que comience el proceso de cifrado, en un intento de evitar la protección de los puntos finales que a menudo no se ejecuta en este modo.

Descubierto por los investigadores de SophosLabs y el equipo de respuesta a amenazas gestionadas de Sophos, el programa de rescate de secuestros se encuentra entre los múltiples componentes de la constelación de programas maliciosos que se utilizan en una serie continua de ataques cuidadosamente orquestados que incluyen una amplia recopilación de datos.

La nueva cepa del rescate utiliza un método de infección único que aplica una sofisticada encriptación AES para que los usuarios cuyas máquinas están infectadas no puedan acceder a sus archivos.

Snatch ransomware fue notoriamente activo por primera vez en abril de 2019, pero fue lanzado a finales de 2018. Sin embargo, el aumento de archivos cifrados y notas de rescate llevó a su descubrimiento y seguimiento por el equipo de investigadores de Sophos.

Su forma de cripto-virus ataca objetivos de alto perfil, pero esta nueva cepa, creada con el programa Google Go, comprende una colección de herramientas que incluyen una función de robo de datos y de rescate. Además, tiene un Cobalt Strike reverse-shell y otras herramientas utilizadas por los probadores de penetración y los administradores de sistemas.

Nota: La variante descubierta por Sophos sólo puede funcionar en Windows en ediciones de 32 y 64 bits desde la versión 7 a la 10.

Cómo funciona Snatch Ransomware

Como virus de bloqueo de archivos, el rescate de Snatch no tiene conexiones con otras cepas. Aún así, sus desarrolladores publicaron nueve variantes de la amenaza, que añaden diferentes extensiones después de que los datos son cifrados con el código AES.

El truco es reiniciar las máquinas en modo seguro, y luego el programa de rescate restringe el acceso a sus datos encriptando sus archivos. Después de eso, los hackers intentan extorsionarte pidiendo rescates en forma de Bitcoin a cambio de desbloquear tus archivos y devolver el acceso a los datos.

Hay una razón por la que su truco funciona. Algunos programas antivirus no se inician en Modo a prueba de fallos y los desarrolladores descubrieron que podían modificar fácilmente una clave del registro de Windows e iniciar el equipo en Modo a prueba de fallos. Así, el software de rescate se ejecuta sin ser detectado por su software de seguridad.

La primera vez que se instala en tu dispositivo, viene a través de SuperBackupMan, un servicio de Windows, y se configura justo antes de que tu ordenador empiece a reiniciarse para que no puedas pararlo a tiempo.

Una vez instalados, los atacantes usan el acceso de administrador para ejecutar BCDEDIT, una herramienta de línea de comandos de Windows, para forzar a su computadora a reiniciarse en Modo Seguro inmediatamente.

Luego crea un ejecutable de nombre aleatorio en su carpeta %AppData% o %LocalAppData%, que se lanzará y comenzará a analizar las letras de la unidad de disco de su computadora en busca de archivos para cifrar.

Archivos dirigidos por Snatch Ransomware

Hay extensiones de archivos específicos que encripta, incluyendo .doc, .docx, .pdf, .xls, y muchos otros, que infecta y cambia sus extensiones a Snatch para que no puedas abrirlos de nuevo.

El rescate deja una nota de archivo de texto Readme_Restore_Files.txt, exigiendo entre uno y cinco Bitcoin a cambio de una clave de descifrado, con información sobre cómo comunicarse con los hackers para recuperar sus archivos de datos.

Después de que el software de rescate escanea su computadora completamente, utiliza vssadmin.exe, un comando de Windows para eliminar todas las copias del volumen de sombra en ella, de modo que no pueda recuperarlas y utilizarlas para restaurar los archivos de datos cifrados. El paso final es cifrar todos los archivos de datos del disco duro.

Actualmente, los archivos infectados no son descifrables debido a la sofisticada naturaleza de la encriptación AES utilizada. Sin embargo, usted todavía tiene un salvavidas si su computadora está infectada al restaurar sus archivos desde la copia de seguridad más reciente.

El rescate de snatch ha sido dirigido a usuarios regulares a través de correos electrónicos spam. Pero hoy en día, los principales objetivos son las corporaciones. Al pagar a estos delincuentes, no sólo se pierde dinero y no se tiene la garantía de que le enviarán la clave de desencriptación, sino que también se les anima a seguir con su ciberdelincuencia.

Si no tienes una copia de seguridad actualizada, no hay mucho más que puedas hacer aparte de esperar a que los expertos en seguridad encuentren un descifrador de Snatch ransomware. Eso podría llevar mucho tiempo, pero hay otras formas de protegerse de tales ataques.

Cómo quitar el Snatch Ransomware de su ordenador

Una de las mejores maneras de eliminar el Snatch ransomware y otro malware es instalar un buen software antivirus de seguridad como Malwarebytes o SpyHunter que puede escanear, detectar y eliminar la amenaza. No todos los motores antivirus pueden detectarlo porque es un malware completamente nuevo, por lo que es bueno escanearlo con varios programas.

Puede protegerse a sí mismo y a sus dispositivos contra los ataques de rescate tomando medidas sencillas, como descargar software de fuentes de confianza, y evitar abrir archivos adjuntos de correo electrónico de fuentes no fiables.

Otras formas de protegerse a sí mismo y a su organización de los robos y otros tipos de rescate incluyen:

  • Mantenga un sistema operativo actualizado y haga una copia de seguridad de sus datos.
  • Realice una auditoría de contraseñas con regularidad.
  • Despliegue un software de seguridad completo y de varias capas para proteger todos los puntos de entrada contra un ataque de rescate.
  • Asegurando las herramientas de acceso remoto y otros programas vulnerables porque los atacantes de Snatch contratan a otros criminales con experiencia en el uso de Web shells o capaces de hackear servidores SQL mediante ataques de inyección.
  • Proteja la interfaz de su Escritorio Remoto poniéndolos detrás de una VPN en su red para que la gente no acceda a ellos sin credenciales de VPN.
  • Realice comprobaciones regulares y minuciosas de todos los dispositivos de su casa u organización para asegurarse de que están protegidos y monitorizados, ya que Snatch aprovecha estos puntos de acceso y puntos de apoyo para entrar.
  • Configure y utilice la autenticación multifactorial para cualquier administrador de su organización para que los atacantes no puedan forzar sus credenciales.
  • Realice una completa caza de amenazas en su red para identificar cualquier actividad de este tipo antes de la infección.

Proteja su sistema

El software de rescate de secuestro puede parecer casi mortal en cuanto a cómo funciona para paralizar sus archivos y dispositivos. Antes de pensar en pagar ese rescate, intente los pasos anteriores para eliminar la amenaza y siempre tome medidas preventivas para asegurar que esta y tales amenazas no aparezcan en su computadora o red.

Siguiente: Si sospechas que tu teléfono está infectado con el software de rescate, consulta nuestro siguiente artículo para saber cómo detectarlo y eliminarlo.

Deja un comentario