Diferencia entre revisiones de «REVRAC»

REVRAC (ver código)

Revisión del 13:58 29 oct 2024

676 bytes añadidos , 29 octubre

sin resumen de edición

VisualWikitexto

Fernando.VH

1178

ediciones

@@ Línea 6: / Línea 6: @@
 == '''Funcionamiento''' ==
-El ransomware REVRAC opera utilizando métodos de cifrado avanzados para secuestrar archivos en el sistema objetivo, haciendo que estos sean inaccesibles sin la intervención del atacante. Una vez que REVRAC infecta un dispositivo, realiza un escaneo exhaustivo del sistema en busca de archivos específicos, generalmente los de tipo .docx, .jpg, .pdf, .xls y otros formatos de uso común. Tras identificar los archivos, inicia el proceso de cifrado utilizando un algoritmo de cifrado robusto, que puede ser simétrico (AES) o asimétrico (RSA), dependiendo de la complejidad del ataque. En este proceso, cada archivo cifrado recibe una extensión adicional ".REVRAC" y un identificador único asignado a la víctima. Por ejemplo, un archivo originalmente llamado "documento.docx" se renombraría como "documento.docx.{ID}.REVRAC", lo que asegura que la víctima reconozca la extensión y el identificador únicos como características distintivas de este ransomware.
+REVRAC es un ransomware avanzado que utiliza técnicas sofisticadas para comprometer los sistemas de sus víctimas, cifrando archivos y exigiendo un rescate a cambio de la clave de descifrado. Su funcionamiento se puede dividir en varias fases complejas que detallan su mecanismo de acción, desde la entrega inicial hasta la recuperación de datos.
-Después de cifrar los archivos, REVRAC procede a eliminar o modificar copias de seguridad y puntos de restauración del sistema, lo que impide que la víctima restaure sus datos sin necesidad de una clave de descifrado. REVRAC también introduce un archivo de texto titulado "README.txt" en múltiples directorios del sistema infectado. Este archivo de texto contiene una nota de rescate en la cual los atacantes explican la situación a la víctima: sus archivos han sido cifrados y la única manera de recuperarlos es mediante el pago de un rescate, generalmente en criptomonedas como Bitcoin, a través de un contacto específico (TechSupport@cyberfear.com). La nota también incluye una oferta de prueba de descifrado de un único archivo pequeño, de no más de 1 MB, para que la víctima pueda comprobar la efectividad de la herramienta de descifrado proporcionada por los atacantes.
+=== 1. Proceso de Infección ===
+La infección por REVRAC típicamente comienza con métodos de ingeniería social, donde el malware se oculta en archivos adjuntos de correos electrónicos aparentemente legítimos o enlaces a sitios web maliciosos. Puede utilizar documentos de Microsoft Office, que requieren que el usuario habilite macros para ejecutar el código malicioso. Este enfoque se basa en la manipulación del comportamiento humano, aprovechando la curiosidad o la urgencia. Además, REVRAC puede propagarse a través de otros vectores, como sitios web comprometidos, archivos descargados de fuentes dudosas, y a través de dispositivos de almacenamiento extraíbles que se conectan a sistemas infectados. Una vez ejecutado, el ransomware se instala en el sistema y comienza a prepararse para su ataque.
-Para mantenerse activo y evitar ser detectado, REVRAC puede deshabilitar las funciones de seguridad de la computadora, como el antivirus o los firewalls, y persistir en el sistema utilizando técnicas de ocultación avanzada. Esto podría implicar cambios en el registro, la creación de tareas programadas o la manipulación de procesos legítimos para evitar su eliminación. Además, el ransomware puede incluir componentes adicionales, como troyanos de acceso remoto (RAT) o módulos de exfiltración de datos que permiten a los atacantes monitorear el sistema o robar información sensible antes de aplicar el cifrado. Esta estrategia permite a los operadores de REVRAC maximizar el daño y la presión sobre la víctima, asegurando que el pago del rescate se perciba como la única opción viable para recuperar el acceso a los archivos cifrados.
+=== 2. Escaneo y Cifrado de Archivos ===
+Una vez dentro del sistema, REVRAC inicia un proceso de escaneo exhaustivo, identificando archivos que son particularmente valiosos para el usuario, incluyendo documentos, imágenes, bases de datos y archivos de configuración. Utiliza algoritmos de cifrado simétrico y asimétrico para asegurar que los archivos sean inaccesibles. Durante este proceso, cada archivo afectado es renombrado al agregar un identificador único de la víctima y la extensión ".REVRAC". Por ejemplo, un archivo originalmente llamado "1.jpg" se convierte en "1.jpg.{AE53F3C6-811D-F11F-76B5-35C72B99A5C9}.REVRAC". Este método no solo ofusca los archivos, sino que también permite a los atacantes rastrear las víctimas y sus pagos.
+=== 3. Generación de la Nota de Rescate ===
+Al completar el cifrado, REVRAC crea una nota de rescate en un archivo de texto denominado "README.txt". Este documento contiene instrucciones que informan a la víctima sobre el cifrado de sus archivos y le ofrecen una "oportunidad" para recuperar sus datos mediante el pago de un rescate. El mensaje establece que el pago debe realizarse en criptomonedas, que garantizan el anonimato de los atacantes, y sugiere que se puede probar el descifrado de un solo archivo de hasta 1 MB. Este archivo de prueba debe ser uno que no contenga datos críticos para evitar la posibilidad de que la víctima intente recuperar sus archivos sin pagar. Las advertencias incluidas en la nota de rescate enfatizan los riesgos de manipular los archivos o utilizar herramientas de descifrado de terceros, lo que incrementa la presión sobre la víctima para cumplir con las demandas de los atacantes.
+=== 4. Persistencia y Exfiltración ===
+Para aumentar la efectividad de su ataque, REVRAC puede incluir capacidades de persistencia, asegurando que el ransomware se reinicie automáticamente incluso si la víctima intenta eliminarlo. Además, algunos análisis han indicado que ciertas variantes de REVRAC pueden incluir funcionalidades para exfiltrar datos sensibles antes de cifrarlos, aumentando así la presión sobre las víctimas al amenazar con la divulgación de información confidencial si no se paga el rescate.
 == '''Impacto y consecuencias''' ==
@@ Línea 24: / Línea 32: @@
 * [[Mitigaciones Ransomware|Relación de acciones para mitigar el riesgo de esta actividad maliciosa.]]
-[[Categoría:Familias de malware|Familias de malware]]
+[[index.php?title=Categoría:Familias de malware|Familias de malware]]