¿Qué es Snatch Ransomware y cómo eliminarlo?

Parece que los desarrolladores de crimeware nunca duermen cuando aumentan las defensas. Siempre están buscando diferentes formas de perfeccionar sus armas de ataque. Una de las técnicas más recientes es una cepa de ransomware que puede obligar a un dispositivo Windows a reiniciarse en modo seguro justo antes de que comience el cifrado, con la intención de sortear la protección del punto final.

Esta cepa en particular se conoce como Snatch debido a sus autores, que se refieren a sí mismos como Snatch Team. Fue descubierto por investigadores de Sophos Labs, quien describió su descubrimiento junto con información sobre cómo estas bandas irrumpen en empresas y otras entidades en su lista de blancos.

Vamos a explicar qué es el ransomware Snatch, cómo funciona y cómo puede eliminarlo de sus dispositivos.

¿Qué es Snatch Ransomware?

Snatch es una nueva variante de ransomware cuyo ejecutable obliga a los dispositivos Windows a reiniciarse en modo seguro incluso antes de que comience el proceso de cifrado en un intento por evitar la protección de endpoints que a menudo no se ejecuta en este modo.

Descubierto por los investigadores de SophosLabs y el equipo de Sophos Managed Threat Response, el snatch ransomware se encuentra entre los múltiples componentes de la constelación de malware que se utiliza en una serie continua de ataques cuidadosamente orquestados que incluyen una amplia recopilación de datos.

La nueva cepa del ransomware utiliza un método de infección único que aplica un sofisticado cifrado AES para que los usuarios cuyas máquinas estén infectadas no puedan acceder a sus archivos.

Snatch ransomware estuvo notablemente activo por primera vez en abril de 2019, pero se lanzó a fines de 2018. Sin embargo, el aumento de archivos cifrados y notas de rescate condujo a su descubrimiento y seguimiento por parte del equipo de investigadores de Sophos.

Su forma de criptovirus ataca objetivos de alto perfil, pero esta nueva cepa, creada con Google Go programa, comprende una colección de herramientas que incluyen una función de robo de datos y ransomware. Además, tiene un Golpe de cobalto shell inverso y otras herramientas utilizadas por los probadores de penetración y los administradores de sistemas.

Cómo funciona Snatch Ransomware

Como virus de bloqueo de archivos, Snatch ransomware no tiene conexiones con otras cepas. Aún así, sus desarrolladores lanzaron nueve variantes de la amenaza, que agregan diferentes extensiones después de que los datos se cifran con el cifrado AES.

El truco consiste en reiniciar las máquinas en modo seguro y luego el ransomware restringe el acceso a sus datos cifrando sus archivos. Después de eso, los piratas informáticos intentan extorsionarlo solicitando rescates en forma de Bitcoin a cambio de desbloquear sus archivos y devolver el acceso a los datos.

Snatch Ransomware Cómo quitar Works

Hay una razón por la que su truco funciona. Algunos programas antivirus no se inician en modo seguro y los desarrolladores descubrieron que podían modificar fácilmente una clave de registro de Windows y simplemente iniciar su máquina en modo seguro. Por lo tanto, el software de seguridad no detecta el ransomware.

La primera vez que se instala en su dispositivo, viene a través de SuperBackupMan, un servicio de Windows, y se configura justo antes de que su computadora comience a reiniciarse para que no pueda detenerla a tiempo.

Snatch Ransomware Cómo quitar Superbackupman

Una vez instalado, los atacantes utilizan admin acceso para ejecutar BCDEDIT, una herramienta de línea de comandos de Windows, para forzar a su computadora a reiniciarse en modo seguro inmediatamente.

Luego crea un ejecutable con nombre aleatorio en su carpeta% AppData% o% LocalAppData%, que se iniciará y comenzará a escanear las letras de unidad de su computadora en busca de archivos para cifrar.

Archivos dirigidos por Snatch Ransomware

Hay extensiones de archivo específicas que cifra, incluidas .doc, .docx, .pdf, .xls y muchas otras, que infecta y cambia sus extensiones a Snatch para que no pueda volver a abrirlas.

El ransomware deja una nota de archivo de texto Readme_Restore_Files.txt, exigiendo entre uno y cinco Bitcoin a cambio de una clave de descifrado, con información sobre cómo comunicarse con los piratas informáticos para recuperar sus archivos de datos.

Snatch Ransomware Cómo quitar el mensaje

Después de que el ransomware escanea su computadora por completo, usa vssadmin.exe, un comando de Windows para eliminar todas las instantáneas de volumen en él para que no pueda recuperarlas y usarlas para restaurar archivos de datos encriptados. El último paso es cifrar los archivos de datos de su disco duro.

Actualmente, los archivos infectados no se pueden descifrar debido a la naturaleza sofisticada del cifrado AES utilizado. Sin embargo, aún tiene un salvavidas si su computadora está infectada al restaurar sus archivos desde la copia de seguridad más reciente.

Snatch Ransomware Cómo eliminar archivos como rehenes

Snatch ransomware se ha dirigido a usuarios habituales a través de correos electrónicos no deseados. Pero hoy, los principales objetivos son las corporaciones. Al pagar a estos delincuentes, no solo pierde dinero y no tiene garantía de que le envíen la clave de descifrado, sino que también los alienta a continuar con su ciberdelincuencia.

Si no tiene una copia de seguridad actualizada, no hay mucho más que pueda hacer aparte de esperar hasta que los expertos en seguridad creen un descifrador de ransomware Snatch. Eso podría llevar mucho tiempo, pero hay otras formas de protegerse de este tipo de ataques.

Cómo quitar Snatch Ransomware de su computadora

Una de las mejores formas de eliminar Snatch ransomware y otro malware es instalar un buen software de seguridad antivirus, como Malwarebytes o SpyHunter, que puede escanear, detectar y eliminar la amenaza. No todos los motores antivirus pueden detectarlo porque es un malware completamente nuevo, por lo que es bueno escanear con varios programas.

Puede protegerse a sí mismo y a sus dispositivos contra los ataques de ransomware siguiendo pasos simples, como descargar software de fuentes confiables, y evitar abrir archivos adjuntos de correo electrónico de fuentes no confiables.

Snatch Ransomware Cómo eliminar tipos de archivo

Otras formas en las que puede protegerse y proteger a su organización de Snatch y otros tipos de ransomware incluyen:

  • Mantenga un sistema operativo actualizado y siga haciendo copias de seguridad de sus datos.
  • Realice auditorías periódicas de contraseñas.
  • Implemente un software de seguridad integral de varias capas para proteger todos los puntos de entrada contra un ataque de ransomware.
  • Asegurar herramientas de acceso remoto y otros programas vulnerables porque los atacantes de Snatch contratan a otros delincuentes con experiencia en el uso de shells web o capaces de piratear servidores SQL mediante ataques de inyección.
  • Proteja su interfaz de Escritorio remoto colocándola detrás de una VPN en su red para que las personas no accedan a ella sin las credenciales de VPN.
  • Realice comprobaciones periódicas y exhaustivas en todos los dispositivos de su hogar u organización para asegurarse de que estén protegidos y supervisados, ya que Snatch aprovecha dichos puntos de acceso y puntos de apoyo para acceder.
  • Configure y utilice la autenticación multifactor para cualquier administrador de su organización para que los atacantes no puedan utilizar sus credenciales mediante la fuerza bruta.
  • Realice una búsqueda de amenazas completa en su red para identificar cualquier actividad de este tipo antes de la infección.

Proteja su sistema

Snatch ransomware puede parecer casi mortal en la forma en que funciona para paralizar sus archivos y dispositivos. Antes de pensar en pagar ese rescate, pruebe los pasos anteriores para eliminar la amenaza y siempre tome medidas preventivas para asegurarse de que esta y otras amenazas no aparezcan en su computadora o red.

A continuación: Si sospecha que su teléfono está infectado con ransomware, consulte nuestro siguiente artículo para saber cómo detectarlo y eliminarlo.

Related Posts