Ransomware illustration

 

Nueva oleada de casos de “secuestro” de archivos está azotando a las pequeñas y medianas empresas. Desde la semana pasada 24 de Febrero hemos tenido varias empresas que han tenido los mismos incidentes e indicios parecidos.  En esta ocasión los delincuentes realizan un backup de los ficheros del servidor comprometido creando un archivo de gran tamaño con extensión “bakuv”, o en caso de que el archivo resultante del backup sea demasiado grande lo dividen en subarchivos “bakuv[numero]”. Posteriormente eliminan todos los archivos, dejando únicamente los backups y un archivo de texto en inglés con un mensaje claro y directo:

———–[Traducción al Español]————

Hola,

He accedido a vuestro servidor y he borrado y destrozado todos tus archivos, después de guardarlos en un BackUp que se encuentra en tu ordenador.

Si quieres recuperarlos ponte en contacto conmigo al mail iloveserver@mail.ru

 

Como podemos ver los delincuentes nos piden un “rescate” a cambio de poder recuperar nuestros archivos. Nunca debemos de ceder ante este tipo de extorsión porque es muy difícil confiar en la palabra de los chantajistas y, de acceder, podría hacernos parecer sumisos y débiles ante ellos, dejándoles las puertas abiertas para que continúen reclamándonos más dinero con el fin de poder recuperar unos archivos que no tenemos la certeza de que nos los dejen a disposición de nuevo. Además de perder el control sobre nuestros datos, los delincuentes después de realizar el pago y proceder a la recuperación pueden elaborar algún tipo de chantaje a través de la fuga de información, “pedir dinero por tener la boca cerrada”.La mejor opción es denunciar el incidente ante la Guardia Civil o Policía y proceder a contratar los servicios de una empresa especializada, como Quantika14, que trate de recuperar los archivos y fortifique el entorno para disminuir las posibilidades de que vuelva a repetirse una situación de tan alta criticidad.

4 thoughts on “iloveserver@mail.ru: extorsión en la red”

  1. En un server de un cliente ha entrado, lo hace por ssh brute, se ha dejado información en el equipo. crea un usuario llamado sloncce y otro slonce en uno de ellos, se ha dejado tododos los programas y la web que se conecta para bajarlos. Lo más importante, que se ha dejado las últimas contraseñas de rescate en un fichero llamado: _recovery_2015-05-31_15-06-47.txt.

    echehychjupyr@ro.ru:xjv3ngphq
    yhyasegachbym@ro.ru:qakht1el
    dyazezunisji59@myrambler.ru:hzfieow2xf3
    ubalyuzozor72@autorambler.ru:f3qfrynryl
    vokovebynum1999@autorambler.ru:m9kmgrz6b5
    dyabaeenadej01@myrambler.ru:wvfrpzom

    si alguno encuentra otro fichero parecido insto a que lo cuelgue a ver si conseguimos descifrar los datos sin tener que pagar la estorsión y nos ayudamos entre todos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *