Historia de Mobef 2.0:

​

Mobef 2.0, también llamado TRAFFICBOOSTER - OPENTHISFILE.NOW - YOUWILLNEED.THIS debido al archivo que deja en la máquina infectada es la última versión, muy agresivo, del ransomware Mobef 2.0 .

​

Después de su infiltración, los archivos se cifran y la extensión del archivo no cambia.

 

Por ejemplo, un archivo infectado por Mobef 2.0 que se denominó "sample.jpg" sigue siendo "sample.jpg".

​

El fondo del escritorio a veces se cambia y se crean dos files: "OPENTHISFILE.NOW" y "YOUWILLNEED.THIS"

​

​

​

​

​

​

 

​

 

Todos los archivos con las siguientes extensiones serán encriptados:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks, .jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, . scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, . py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

​

TRAFFICBOOSTER - OPENTHISFILE.NOW - YOUWILLNEED.THIS es muy similar a docenas de otros programas maliciosos como CryptoWall Locky CTB-Locker y CryptoLocker. Todos encriptan archivos y piden bitcoins a cambio de un descifrador (o descifrador) y una clave de descifrado. Los archivos están codificados usando cifrado asimétrico (el ransomware de rango medio usa el simétrico) y, por lo tanto, la única diferencia es el tamaño del rescate.

​

​

​

¿Cómo are distributed TRAFFICBOOSTER alias ABRE ESTE ARCHIVO.AHORA - NECESITARÁS.ESTO?

​

En la mayoría de los casos, se propaga a través de ataques directos en el puerto RDP, en máquinas y servidores que utilizan uno de los siguientes sistemas operativos:

​

Windows Server 2003 (abril de 2003)
Windows Server 2003 R2 (diciembre de 2005)
Windows Server 2008 (febrero de 2008)
Windows Server 2008 R2 (julio de 2009)
Windows Server 2012 (agosto de 2012)
Windows Server 2012 R2 (octubre de 2013)
Windows Server 2016 (septiembre de 2016)

​

A menudo se propagan a través de correos electrónicos infectados, archivos de Word comprometidos, javascript y spam de imágenes de Facebook.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Cómo descifrar archivos cifrados por TRAFFICBOOSTER? 

¿Pueden recuperar mis datos?

​

¡¡Sí, podemos recuperar todos sus archivos!!* 

​

Envíenos un correo electrónico a info@recuperafiles.it allegando dei files criptati, i files OPENTHISFILE.NOW - YOUWILLNEED.THIS insieme al tuo numero di telefono; ¡Nos pondremos en contacto contigo lo antes posible!​

​

*procedimiento valid solo para version 2.0 de Mobef (no 2.0.1 ni 2.1).

​

​

​

​

FAQ: Preguntas y respuestas comunes a las infecciones de Mobef, reportadas por nuestros clientes:

​

​

¿Qué se recomienda hacer después de la infección?

​

Se recomienda desconectar de la red las PC/servidores infectados y analizar inmediatamente el origen de la infección. Por lo general, el sistema operativo no está dañado, pero es muy probable la presencia de puertas traseras ocultas dentro del sistema.

​

 

Mi contraseña RDP era muy segura, ¿cómo la encontraron?

​

Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, normalmente muy segura, no hay eficaz protección as some explotar en el puerto RDP, lo que permite una omisión de contraseña.

​

​

La cuenta de administrador fue deshabilitada, ¿qué pasó? 

​

A menudo, la cuenta de "administrador" se desactiva por razones de seguridad, pero todo el proceso de encriptación se realizó desde esa cuenta, ¿cómo fue posible?

Todo esto se hace a través de una "escalada de privilegios", es decir te conectas como un usuario "normal", se elevan los privilegios de este usuario quien a su vez crea o reactiva la cuenta de administrador, a la cual te conectarás posteriormente para realizar el cifrado._cc781905-5cde-3194 -bb3b-136bad5cf58d__cc781905-5cde- 3194-bb3b-136bad5cf58d_

​

​

Había restringido las conexiones que podían acceder al servicio RDP, ¿cómo se conectaban? 

​

¿Hay clientes "abiertos" en Internet en su red? Incluso si su servidor limita las conexiones desde las que se puede acceder (a través de firewall, VPN, ipfiltering, whitelisting, etc.), la conexión se realiza a través del RDP del cliente conectado a Internet.

Una vez que haya tomado el control de este cliente, se conecta a través de él al servidor en la red interna, lo que hace que el filtrado de todas las IP externas sea inútil.

​

​

El puerto del servicio RDP no era el estándar, ¿cómo encontraron el servicio? 

​

Los puertos estándar para el servicio RDP son 445 y 3389, pero configuré el servicio en el puerto 5555, ¿cómo lo encontraron? Simplemente con un escáner de redes, que analiza todos los puertos del 1 al 65000​ buscando el servicio RDP.

​

​

Entonces, ¿qué puedo hacer para protegerme de futuros ataques TRAFFICBOOSTER?​

​

Los dos consejos que damos a nuestros clientes para protegerse de la infección son:​

- cierre inmediatamente el servicio RDP  en todas las máquinas locales y remotas

- instale nuestro script de protección contra ransomware, más info AQUÍ

​

​

¿Dónde han ido mis copias de seguridad? E máquinas virtuales?​

​

Después de la infección de Mobef, los archivos .backup se eliminan y, a menudo, también las máquinas virtuales (VMware, Oracle VM VirtualBox etc.), que se inician y luego se eliminan o cifran._d04a07d8-9cd1- 3239-9149 -20813d6c673b_

​

​

¿Tiene alguna otra pregunta o necesita más información?​

 

Escríbenos a info@recuperafiles.it e intentaremos aclarar todas tus dudas.

​

​

​