El virus ransomware RedBoot se detectó por primera hace muchos años. En ese momento, los especialistas de seguridad no prestaron mucha atención, ya que era una muestra pobremente codificada y acabó en la categoría de ransomware sin acabar. Esta amenaza en desarrollo volvió a aparecer el 23 de Septiembre (2017) y tiene similitudes con infecciones como NotPetya y Spora. El ransomware RedBoot se preparó en un entorno AutoIT y adjunta la extensión .locked en los datos arruinados.
El virus RedBoot actúa como un ransomware y un eliminador
Los sectores de inicio (MBR conocidos como registro de inicio maestro) podrían verse influenciados sin posibilidad de revertir los daños. Los investigadores de seguridad han categorizado al virus RedBoot entre cripto-infección y eliminador, fueron los términos usados para describrir NotPetya (¿Es RedBoot un eliminador?). Sin embargo, los hackers podrían haber cometido un error mientras preparaban esta infección y los daños irreversibles podría ser un malentendido.
Pronto, tras que el malware RedBoot tenga la posibilidad de activarse, implantará cinco archivos en los sistemas operativos infectados. Los ejecutables llamados boot.asm, assembler.exe, main.exe y overwrite.exe se ubican en carpetas aleatorias. En primer lugar, estos archivos tendrán que influir el registro maestro de inicio (¿Qué es el MBR?) y reemplazarlo por un archivo malicioso boot.bin.
Luego, seguirá la encriptación de archivos, llevando al hecho de que algunas aplicaciones y procesos no podrán ejecutarse. La extensión .locked se adjuntará a todo tipo de archivos, desde los que son parte del SO hasta os vídeos, fotografías y archivos normales de los usuarios. Esta extensión exacta no es inusual: las variantes de ApolloLocker y BitPaymer han sido identificados dejando la misma extensión en los datos que codifica.
Después de que el cripto virus RedBoot use la encriptación para dañar los archivos, la infección reiniciará automáticamente el sistema operativo. Sin embargo, no se ejecutará con normalidad, en lugar de presentar el escritorio de las víctimas, mostrará una corta nota de rescate (Pantalla bloqueada por ransomware). Urgirá a los usuarios a que envíen mensajes de email a [email protected]. Las víctimas deberán incluir números ID específicos en los mensajes de email enviados. La suma exacta de bitcoins demandadas es desconocida, pero presumimos que esta criptodivisa será necesaria para la desencriptación de los archivos. Sin embargo, los hackers podrían ser incapaces de ayudar a las víctimas.
Eliminación, prevención y desencriptación de ransomware
El hecho es que este virus RedBoot no sólo daña archivos, sino también el MBR y no son noticias alentadoras. Si esto fuese intencional, la única manera de desencriptar los archivos podría ser pagar los rescates solicitados. Sin embargo, si los hackers simplemente son chapuzas y lo han hecho por error, entonces el sistema operativo podría no tener ninguna manera de recibir ayuda. Por supuesto, tenemos que esperar a análisis más elaborados y esperar por los resultados. Por favor, sea extremadamente precavido e intenta evitar este tipo de infección.
Las víctimas de la infección RedBoot tienen muy pocas posibilidades de recuperar los datos con herramientas universales. También, los investigadores de seguridad podrían no ser capaces de ayudar a recuperarlos. Sin embargo, puede echarse una mano a sí mismo. Guarde su información digital en copias de seguridad o, al menos, póngala en memorias USB (Ventajas de las copias de seguridad). Si cualquier tipo de infección influye sus datos en los discos duros, entonces no tendrá de qué preocuparse. Si todos los usuarios tuviesen copias de seguridad de sus datos, la industria del ransomware moriría, ya que nadie pagaría los rescates. Sin embargo, mientras haya gente que no quiera proteger su información, los cripto virus proliferarán.
Sin embargo, el hecho de que las infecciones ransomware de nueva producción son más elaboradas y sofisticadas es innegable. Algunas variantes influyen en los sistemas operativos hasta el punto de que no son funcionales. Los ataques globales cada vez más frecuentes tampoco sugieren nada positivo. Al contrario, la actividad de las infecciones ransomware sólo aumentó en 2017.
Las infecciones de ransomware podrían escabullirse gracias a RDP protegidos pobremente. Por lo que, los usuarios deben prestar atención a la manera en la que están protegidos. Además, no interactúe con popups o webs extrañas. Las cuentas de email de los usuarios también podrían llenarse con adjuntos sospechosos. Por favor, no descargue archivos de correos que vengan de fuentes desconocidas.
¿Cómo eliminar El virus RedBoot usando Restauración del Sistema?
1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando
1. Modo seguro
Para Windows 7/ Vista/ XP- l Inicio → Apagar → Reiniciar → OK.
- l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
- l Elegir Modo Seguro con Solicitud de Comando.
- l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
- l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
- l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.
2. Restaurar archivos y configuraciones del Sistema.
- l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
- l Luego introduzca rstrui.exe y presione Intro otra vez.
- l Haga clic en “Siguiente” en la ventana que apareció.
- l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Virus RedBoot en su sistema y luego haga clic en “Siguiente”.
- l Para iniciar la restauración del Sistema haga clic en “Sí”.
2. Complete la eliminación del El virus RedBoot
Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Virus RedBoot.
3. Restaure los archivos afectados por El virus RedBoot usando Shadow Volume Copies
Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Virus RedBoot intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.
Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.
a) Versiones Anteriores nativas de Windows
Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.
b) Shadow Explorer
Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.
Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Herramientas de extracción Malware automática
(Win)
Nota: Ensayo Spyhunter proporciona la detección de parásitos como El Virus Redboot y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como El Virus Redboot y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,