Alrededor de julio de este año, el ransomware HavanaCrypt surgió en el mundo cibernético. Ha estado llevando a cabo ataques con un giro interesante. HavanaCrypt se hace pasar por una actualización del software de Google para cifrar máquinas virtuales.
El ransomware está escrito en el lenguaje .NET y utiliza un ofuscador OpenSource llamado Obfuscate para ocultar los nombres de las características utilizadas en el ransomware.
El grupo detrás del ransomware, logró implementar mecanismos anti-análisis, siendo capaz de hacerse prácticamente invisible a los ojos de los usuarios y de los programas de seguridad.
Todavía no se conoce el punto exacto de introducción en el sistema de la víctima. Los investigadores afirman que existe la posibilidad de que se produzca a través de campañas de correo electrónico o de la descarga involuntaria de software portador del malware.
Lo que está claro es que la información del ejecutable malicioso ha sido modificada para sugerir que el autor es Google y el nombre del programa es Google Software Update.
Sabemos que los creadores de HavanaCrypt han hecho todo lo posible para garantizar que los análisis de seguridad estáticos y automáticos no detecten el malware. Utilizan comprobaciones de seguridad, antes de ejecutar la codificación.
Si la comprobación es negativa, el malware no se ejecuta. Si es positivo, el ransomware descarga un archivo .txt desde una dirección IP conectada a los servicios de alojamiento web de Microsoft. Este archivo es un script que añade ciertas carpetas a la lista de exclusión de Windows Defender.
A continuación, el ransomware recopila información sobre la máquina infectada, luego exfiltra los datos infectados que se envían a un servidor de comando y control (C2), que asigna un token de identificación único y genera claves de cifrado únicas.
El virus escanea el sistema en busca de todos los archivos, carpetas, unidades y discos y añade la extensión .Havana a todos los archivos cifrados. Los archivos se vuelven entonces inaccesibles para el usuario.
A diferencia de otros ransomware, HavanaCrypt no genera ninguna petición de rescate. Lo que nos lleva a pensar que el ransomware HavanaCrypt utiliza otro medio para generar sus ganancias.
Recuperar los archivos encriptados por el ransomware HavanaCrypt
Hoy en día puede confiar en empresas cualificadas para la recuperación de datos cifrados. Entre ellos se encuentra Digital Recovery.
Al estar en el mercado de la recuperación de datos durante más de 23 años, Digital Recovery ha adquirido experiencia y ha generado soluciones sin precedentes para muchas empresas.
Con el creciente número de ataques de ransomware en todo el mundo, nuestro equipo de desarrollo estudió, analizó detenidamente y desarrolló una solución que permite recuperar archivos cifrados por ransomware en cualquier dispositivo de almacenamiento.
Esta solución, llamada Tracer, fue creada en función de la seguridad de los datos de nuestros clientes. Se establece un acuerdo de confidencialidad (NDA) para cada uno de nuestros proyectos.
Podemos operar a distancia en cualquier país del mundo. Tras un diagnóstico avanzado, podemos determinar la posibilidad de recuperación.
Póngase en contacto con nosotros. Nuestro equipo multilingüe está disponible las 24 horas del día, los 7 días de la semana, y está aquí para servirle de la mejor manera posible.
