Puma, también llamado Aurora, es uno de los últimos y más peligrosos ransomware/malware que se está propagando estas semanas a través de correos electrónicos infectados, ataques de escritorio remoto y visores de equipos.

 

Los archivos cifrados tienen una extensión appended an como.puma .pumax .aurora .zorro .animus .desu .ONIdependiendo de la versión.

El malware infecta casi todos los archivos cc781905-5cde-3194-bb3b-136bad5cf58d_users con un cifrado muy fuerte, específicamente RSA de 2048 bits y clave AES de 128 bits, lo que dificulta el descifrado directo para los programadores y desarrolladores que tienen que buscar en el código del virus una solución técnica para recuperar la clave, o sus rastros, para que los archivos vuelvan a ser legibles.

​

El usuario podría encontrar en su pc un archivo de texto, con un nombre aleatorio que contiene un mensaje que dirige a una página web o a un correo electrónico por la compra de la clave y la posterior descarga de un descifrador.

 

Absolutamente no recomendamos ponerse en contacto con la página web o el correo electrónico ya que el hacker aún puede tener acceso a su PC/Servidor y le dará como recordatorio del hecho de que tiene acceso a su red. Como consecuencia, puede tener más accesos no deseados y tal vez la instalación de otras puertas traseras o rootkits que son muy difíciles de eliminar.

​

​

​

​

 

​​​​

​

​

​

​

Tengo Windows Server y me infecté, ¿cómo es posible? 

 

Este malware altamente avanzado se propaga principalmente a través de ataques directos en el puerto RDP, generalmente en máquinas que ejecutan el siguiente sistema operativo:

 

Windows Server 2003 (abril de 2003)
Windows Server 2003 R2 (septiembre de 2005)
Windows Server 2008 (abril de 2008)
Windows Server 2008 R2 (julio de 2009)
Windows Server 2012 (agosto de 2012)

Windows Server 2012 R2 (octubre de 2013)

Windows Server 2016   (septiembre de 2016)

Windows Server 2019  (octubre de 2018)

​​

​

¿Qué se recomienda hacer después de la infección? 

​

Es recomendable desconectar de la red los PC/servidores infectados y contactar inmediatamente con un experto para averiguar el origen de la infección. Por lo general, no daña el sistema operativo, pero is muy probable que haya malware backdoor o rootkit escondido dentro del sistema. Probar técnicas de recuperación "tradicionales" u otras solo pondrá en riesgo aún más la ya baja probabilidad de recuperar todos sus documentos.

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Mi contraseña RDP era muy segura, ¿cómo la encontraron? 

​

Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, generalmente muy segura, no hay ective protection as some exploits se utilizan en el puerto RDP permitiendo efectivamente una omisión de contraseña.

​

​

La cuenta de administrador fue deshabilitada, ¿qué pasó? 

​

A menudo, la cuenta de "administrador" se desactiva por razones de seguridad, pero todo el proceso de encriptación se realizó desde esa cuenta, ¿cómo fue posible?

Todo esto sucede a través de a "escalado de privilegios", es decir, te conectas a través de un usuario "normal", los privilegios de este usuario aumentan, lo que a su vez crea o reactiva la cuenta de administrador, a la que te conectarás más tarde para el cifrado.  

​

​

Había restringido las conexiones que podían acceder al servicio RDP, ¿cómo se conectaban? 

​

¿Hay clientes "abiertos" en Internet en su red? Incluso si su servidor limita las conexiones desde las que se puede acceder (a través de firewall, VPN, ipfiltering, whitelisting, etc.), la conexión se realiza a través del RDP del cliente conectado a Internet. 

Una vez que haya tomado el control de este cliente, se conecta a través de él al servidor en la red interna, lo que hace que el filtrado de todas las IP externas sea inútil.

​

​

El puerto del servicio RDP no era el estándar, ¿cómo encontraron el servicio? 

​

Los puertos estándar para el servicio RDP son 445 y 3389, pero configuré el servicio en el puerto 5555, ¿cómo lo encontraron? Simplemente con un escáner de redes, que analiza todos los puertos del 1 al 65000​ buscando el servicio RDP.

​

​

Entonces, ¿qué puedo hacer para protegerme de futuros ataques de Puma/Aurora?​

​

Los dos consejos que damos a nuestros clientes para protegerse de la infección son:​

- cierre inmediatamente el servicio RDP  en todas las máquinas locales y remotas

- instale nuestro script de protección contra ransomware, más info AQUÍ

​

​

¿Dónde han ido mis copias de seguridad? E máquinas virtuales?​

​

Como resultado de puma/Aurora los archivos .backup .save .vmx .vdmx se eliminan y, a menudo, también cualquier máquina virtual (VMware, Oracle VM VirtualBox etc.), que se inician y luego se eliminan o cifran.​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

Cómo descifrar archivos cifrados porPuma/Aurora? 

¿Puedes recuperar mis datos?

​

¡Sí, para algunas versiones de puma/aurora, podemos recuperar todos sus archivos! 

​

Escríbanos un correo electrónico ainfo@eliminacryptolocker.com adjuntar archivos cifrados y su número de teléfono móvil;

 

¡Te responderemos lo más pronto posible!

​

​

¿Tiene alguna otra pregunta o necesita más información?​

 

Escríbenos a info@recuperafiles.it e intentaremos aclarar todas tus dudas.

​