Nuevo Ransomware infecta a los servidores GNU/Linux Nuevo Ransomware infecta a los servidores GNU/Linux

El ransomware llamado B0r0nt0K cifra los sitios web de las víctimas alojados en servidores GNU/Linux y exige un rescate de 20 bitcoins. De momento el malware infecta a los servidores GNU/Linux, sin embargo, también puede ser capaz de cifrar sitios web alojados en servidores Windows.

El ransomware cifra, y renombra los archivos con la extensión .rontok añadida. Cuándo B0r0nt0K cifra un archivo, los datos cifrados se muestran así:

El nombre del archivo infectado, también se modifica, cifrando el nombre del archivo,  codificándolo en base64 y finalmente añadiendo la extensión .rontok. Un ejemplo del nombre de un archivo cifrado es zmAAwbbilFw69b7ag4G4bQ%3D%3D%3D.rontok.

La URL del sitio  en el cual se debe realizar el pago por la recuperación de los archivos cifrados es https://borontok.uk/. Al visitar este sitio, se le pedirá al usuario que presente su identificación personal.

Debido a que era un sitio web que se dedicaba a extorsionar usuarios, solicitando dinero para recuperar los archivos, fue bajado de Internet y bloqueado por todos los navegadores. Actualmente se muestra de la siguiente manera:

¿Cómo el Ransomware B0r0nt0K (Rontok) llega a su servidor?

B0r0nt0K (Rontok) Ransomware llega a un servidor de forma secreta. Esto sucede generalmente a través de las actualizaciones, descargas falsas, los archivos adjuntos de correos electrónicos no deseados. O algoritmo de este programa es muy simple.

1. Firstly, B0r0nt0K (Rontok) Ransomware (website encrypted with .rontok) reads source files;
2. Then B0r0nt0K (Rontok) Ransomware (website encrypted with .rontok) it;
3. Then creates encrypted files by adding the .rontok extension;
4. Finally, extortionist writes encoded files.

Cuando el B0r0nt0K (Rontok) Ransomware (página web encriptada con el .rontok) encripta a los datos y usted verá un mensaje como este:

Ops… Your file have been encrypted
And your database file have been encrypted too
UUID: d40bbe71aa5c763c9c87de**********
Click here to get decryption key
[Decryption Key]
[Decrypt]

Después de esto, B0r0nt0K (Rontok) Ransomware pide a los usuarios un rescate de 20 bitcoins, que es enorme en comparación con los otros virus ransomware. Por supuesto, si paga este dinero, nada cambia, porque estos son sólo trucos del B0r0nt0K (Rontok) Ransomware. Aquí está el mensaje que va a tener para notificarle del rescate:

UUID:
Send 20 BTC to this address:
3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC
.
Negotiate? contact: info@borontok.uk
[**********]
Enter the TX ID BTC Already the if you sent bitcoin …
[Check]

Cómo eliminar el Ransomware B0r0nt0K (Rontok)

Si usted tiene copias de seguridad de sus archivos cifrados por el malware, simplemente elimine el sitio web y cargue la copia generada antes de la infección. En caso que el servidor haya sido comprometido en el kernel, lo más probable es que tenga que formatear, instalar y configurar nuevamente el sistema operativo.

Puedo recuperar mis archivos cifrados con el Ransomware?

Si usted desea recuperar sus archivos, lo primero que debe hacer es tratar de comunicarse con los autores del malware y “cruzar los dedos” para que una vez haya realizado el pago, los autores le envíen una llave para levantar el bloqueo.

Recomendaciones

1. Realizar copias periódicas del servidor de la siguiente manera: Copias del sistema operativo y copias de los archivos contenidos dentro de éste (sitios web, documentos, etc).
2. Mantener el sitio web actualizado.
3. NO descargar actualizaciones y otras aplicaciones de sitios no conocidos o autorizados por el fabricante del sistema operativo del servidor.
4. Evite utilizar aplicaciones piratas en su servidor.
5. NO todas las aplicaciones Open Source son seguras, así que antes de instalar una aplicación, investigue mucho sobre el uso de éstas, así sabrá si ameritan o no ser instaladas en su servidos.