Cibersecuestro Bad Rabbit

Conocido también como: Bad Rabbit (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus encriptador Bad Rabbit

¿Qué es Bad Rabbit?

Bad Rabbit es un virus de la categoría ransomware parecido a Petya y GoldenEye. El software malicioso se distribuye a través de sitios web fiables que han sido hackeados y en los que se ha inyectado código JavaScript malicioso. Este código hace que se abra una web sin permiso que muestra una ventana emergente para descargar Adobe Flash Player. El investigador de seguridad Costin Raiu de Kaspersky avisó de que los ciberdelincuentes responsables de perpetrar este cibersecuestro han estado ocupados creando su red de infección en sitios hackeados desde al menos julio de 2017. Una vez se descarga y ejecuta, el archivo "install_flash_player.exe" instala Bad Rabbit. Este cibersecuestro ha sido diseñado para encriptar varios tipos de archivos (abajo verá la lista completa). No obstante, a diferencia de la mayor parte de virus de tipo criptográfico, Bad Rabbit no añade ninguna extensión de archivo ni tampoco cambia los nombres de archivo de ninguna forma. Este cibersecuestro ha sido concebido para sustituir los registros de arranque principal. Posteriormente, Bad Rabbit crea un archivo de texto ("Readme.txt" que coloca en el escritorio de las víctimas) y bloquea la pantalla tras reiniciar el equipo por la fuerza.

Según las pesquisas, Bad Rabbit afectaría principalmente a los países de Europa del Este. Casi todas las víctimas son de Rusia, Ucrania, Turquía y Bulgaria. También cabe resaltar que, aparte de afectar a usuarios, este malware también se ceba con las redes (como las de empresas privadas u organismos gubernamentales). La lista de víctimas incluye varias agencias de noticias (como Interfax y Fontaka) en Rusia, el metro de Kiev, el aeropuerto de Odesa en Ucrania, así como el Ministerio de Infraestructuras ucraniano. Por si fuera poco, Bad Rabbit parece incorporar una herramienta que permite a Bad Rabbit propagarse a sí mismo a través de redes locales, de ahí que se infecten otros equipos. Como se ha indicado anteriormente, Bad Rabbit ha sido diseñada para modificar los registros de arranque. Este software malicioso programa una tarea que ejecuta el archivo "C:\Windows\dispci.exe". Este ejecutable junto con el controlador ccc.dat alteran los ajustes de arranque y fuerza el reinicio del sistema. Una vez se reinicia el sistema, los usuarios dejan de tener total acceso a sus escritorios. Solamente ven un pantallazo que contiene un mensaje para pedir una recompensa (el mismo que el de Readme.txt). En el mensaje se informa a las víctimas acerca de la encriptación y se les anima a pagar un rescate si quieren recuperar los archivos. Bad Rabbit se sirve de criptografía AES (simétrica) y RSA-2048 (asimétrica). Los archivos se cifran con un algoritmo AES que genera una clave única usada para encriptar y desencriptar los archivos. La clave generada se encripta luego a través de criptografía RSA-2048 (para ver más información sobre los algoritmos de cifrado y claves, haga clic aquí). El precio de la clave es 0,05 Bitcoins (actualmente, equivalente a ~$280). Tras pagar el rescate, las víctimas recibirán supuestamente la clave de desencriptación. No obstante, los usuarios nunca deberían fiarse de los ciberdelincuentes. Los estudios demuestran que estos individuos suelen ignorar a las víctimas una vez que realizan el pago. Por este motivo, el pago no garantizará que esos archivos serán recuperados. Es más que probable que las víctimas resulten estafadas. Por tanto, le recomendamos que haga caso omiso a las peticiones de pago. Por desgracia, no hay herramientas capaces de restaurar los archivos encriptados por Bad Rabbit. Por tanto, la única solución es restaurar el sistema desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Bad Rabbit

Los virus citados anteriormente, Petya y GoldenEye, no son los únicos que comparten similitudes con Bad Rabbit. En realidad, hay decenas de virus que encriptan también archivos y hacen peticiones de pago. Por ejemplo, Aleta, Nemesis, BTCWare, GlobeImposter, Cerber, Purge (Globe) y muchos otros. La mayor parte de esos virus no son tan complejos como Bad Rabbit; solo unos cuantos cambian los ajustes del sistema y bloquean la pantalla. No obstante, cada uno de ellos encripta los archivos de las víctimas y exigen el pago de una recompensa. En la mayoría de los casos, la única diferencia está en la cuantía del rescate y en el tipo de algoritmo de encriptación usado. Por desgracia, la mayor parte de esos virus usan criptografía (p. ej. RSA, AES, etc.) que genera claves únicas de desencriptación para cada víctima. Por tanto, a no ser que el software malicioso tenga ciertos errores/fallos (p. ej. la clave está integrada en el código o almacenada de forma local) o no esté del todo programado, no será posible restaurar los archivos sin la intervención de los desarrolladores. Por estos motivos, los virus encriptadores como Bad Rabbit nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Cabe también resaltar que las copias de seguridad deberían almacenarse en unidades externas (extraíbles) o servidores privados (p. ej. la nube).

¿Cómo llegó el cibersecuestro a mi equipo?

Como se indicaba anteriormente, Bad Rabbit se propaga a través de una falsa actualización de Adobe Flash Player. Sin embargo, tales virus se distribuyen probablemente a través de correos basura (adjuntos infecciosos), fuentes de descarga de software no oficiales (redes P2P, sitios web de descarga de software gratuito, sitios web de alojamiento de archivos, etc.) y troyanos. Los correos basura vienen a menudo con documentos de ofimática adjuntos, códigos JavaScript o archivos maliciosos que, cuando se abren, descargan e instalan malware. Las fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a las víctimas para que descarguen e instalen software malicioso. Los troyanos son los más simples; solo abren "puertas traseras" para que entren otros programas maliciosos en el sistema.

Datos básicos de la amenaza:
NombreBad Rabbit (virus)
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar Bad Rabbit (virus), nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

En primer lugar, es necesario saber que los dos motivos principales por las que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para la seguridad es la precaución. Por este motivo, es muy importante tener cuidado al navegar por internet. En primer lugar, los usuarios no deben abrir nunca ningún archivo recibido en direcciones de e-mail sospechosas. En realidad, tales e-mails deberían eliminarse de inmediato sin leerlos. Además, los usuarios deberían descargar siempre el software deseado desde la web oficial y, a ser posible, usando un enlace directo de descarga. Las herramientas de descarga/instalación de terceros incluyen a menudo aplicaciones maliciosas; por tanto, no deberían usarse. Asimismo, los usuarios deberían mantener actualizadas las aplicaciones instaladas y usar una solución antivirus/antiespía legítima. Sin embargo, los usuarios no deberían olvidar que los delincuentes propagan ransomware a través de herramientas falsas de actualización y ventanas emergentes. Por este motivo, recomendamos encarecidamente a los usuarios usar las funciones de actualización implementadas o las herramientas oficiales que se pueden descargar del sitio web de los desarrolladores.

Captura de pantalla del archivo de texto en el virus encriptador Bad Rabbit ("Readme.txt"):

archivo de texto el virus encriptador Bad Rabbit

Texto mostrado en el pantallazo y archivo de texto ("Readme.txt"):

Oops! Your files have been encrypted.

If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.

We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.

Visit our web service at -
Your personal installation key#: -


If you have already got the password, please enter it below.
Password#1: -

Captura de pantalla del sitio web de Bad Rabbit (.onion) en Tor:

sitio web de Bad Rabbit

Aspecto del sitio web de Bad Rabbit (GIF):

Bad Rabbit pop-up gif

Texto mostrado en este sitio web:

BAD RABBIT
~If you access this page your computer has been encrypted. Enter the appeared personal key in the field below. If succeed, you’ll be provided with a bitcoin account to transfer payment. The current price is on the right. Once we receive your payment you’ll get a password to decrypt your data. To verify your payment and check the given passwords enter your assigned bitcoin address or your personal key. Price for decryption 0.05 BTC

Captura de pantalla de archivos cifrados por Bad Rabbit (sin extensiones añadidas a los archivos afectados):

Archivos cifrados por Bad Rabbit

Tipos de archivos afectados por el virus Bad Rabbit:

.3ds; .7z; .accdb; .ai; .asm; .asp; .aspx; .avhd; .back; .bak; .bmp; .brw; .c; .cab; .cc; .cer; .cfg; .conf; .cpp; .crt; .cs; .ctl; .cxx; .dbf; .der; .dib; .disk; .djvu; .doc; .docx; .dwg; .eml; .fdb; .gz; .h; .hdd; .hpp; .hxx; .iso; .java; .jfif; .jpe; .jpeg; .jpg; .js; .kdbx; .key; .mail; .mdb; .msg; .nrg; .odc; .odf; .odg; .odi; .odm; .odp; .ods; .odt; .ora; .ost; .ova; .ovf; .p12; .p7b; .p7c; .pdf; .pem; .pfx; .php; .pmf; .png; .ppt; .pptx; .ps1; .pst; .pvi; .py; .pyc; .pyw; .qcow; .qcow2; .rar; .rb; .rtf; .scm; .sln; .sql; .tar; .tib; .tif; .tiff; .vb; .vbox; .vbs; .vcb; .vdi; .vfd; .vhd; .vhdx; .vmc; .vmdk; .vmsd; .vmtm; .vmx; .vsdx; .vsv; .work; .xls; .xlsx; .xml; .xvd; .zip;

Eliminar el virus encriptador Bad Rabbit:

Eliminar automáticamente de forma instantánea Bad Rabbit (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Bad Rabbit (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Bad Rabbit. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Bad Rabbitse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Bad Rabbit.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Bad Rabbiteliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Bad Rabbit, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Bad Rabbit.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Bad Rabbit:

Fuente: https://www.pcrisk.com/removal-guides/11825-bad-rabbit-ransomware