El virus Borontok/Rontok - ¿Como eliminarlo?

El virus Borontok aka. Rontok (B0r0nt0K, Botontok) es un nuevo ransomware que ha recibido atención el 22 de Febrero de 2019, cuando un usuario publicó en el foro de BleepingComputer su nota de rescate que exigía 20BTC, que en dólares americanos son unos $76,000 en el momento de la escritura del artículo. Aunque los criminales se han ido haciendo más avariciosos con el tiempo, una cantidad así definitivamente es inconseguible para la mayoría de la población. Pero no es lo único interesante del ransomware Borontok. Los sistemas objetivos, métodos de encriptación, nota de rescate y más son algo diferentes a la mayoría de otros criptovirus, parece que el hacker ha invertido tiempo en esta amenaza.

El nombre de este ransomware fluctúa entre B0r0nt0K, Borontok, Rontok, y Botontok, debido a la extensión usada .rontok que se añade a los nombres de los archivos encriptados y a un par de direcciones de email de contacto, el nombre de la web de pago, que normalmente en otras amenazas se usa el mismo nombre. Pero no importa cómo decida llamarlo, se ejecuta de la misma manera. El desarrollador de este virus ha mencionado su nombre ‘Vietnamese Hacker’ en el código, pero no significa que el ransomware Rontok sea de esa parte del mundo o haya sido creado por alguien de Vietnam. Sin embargo, hay otra amenaza que es similar llamada El virus Brontok, que estuvo en activo hace muchos años, aunque todavía no se ha confirmado que sea el mismo.

Los investigadores de ciberseguridad descubrieron que el ransomware B0r0nt0K ha sido diseñado para atacar a servidores Linux, pero también tiene la capacidad de infectar a SO Windows, por lo que, todos los usuarios, sin importar su sistema operativo, deben ser precavidos con el malware Rontok. Este artículo explicará más sobre si el ransomware Borontok es peligroso, qué hace al sistema después de las fases iniciales de la infección y cómo eliminar el criptovirus y potencialmente recuperar los archivos.

Qué es el ransomware Borontok/Rontok

El virus Borontok/Rontok es un ransomware, al igual que PewCrypt, AYE ransomware o Seed Locker, lo que significa que inicia cambios específicos en los archivos de datos de las víctimas haciendo que sean imposibles de abrir a no ser que tengan la clave de desencriptación, que es única y solo los hackers la conocen. Esa clave de desencriptación puede comprarse a cambio de un rescate, que en este caso es increíblemente alto – $76k (20BTC). Aunque no está claro si se ha escogido esta cantidad porque los desarrolladores del virus Rontok son nuevos en el mundo del malware o no son conscientes de los precios medios de los ransomware o esta amenaza ha sido desarrollada para atacar a empresas, no individuos, aunque sigue siendo mucho, sin embargo, antes de que el ransomware Borontok pueda pedirle nada, it Tiene muchas cosas que hacer en el sistema para hacer que funcione para los criminales, no el usuario.

Cuando el ransomware B0r0nt0K comienza sus actividades maliciosas al alterar el registro y añadirse en varios directorios del Sistema para poder evitar que el antivirus lo detecte, asegurando la persistencia incluso aunque el usuario apague el ordenador y también puede encontrar archivos potenciales que pueda encriptar. Como Linux y Windows tienen mecanismos completamente diferentes, es increíble que el criptovirus Rontok pueda funcionar en ambos sistemas. Desde que las funciones principales se hayan ejecutado, el ransomware comienza la encriptación, que también es inusual – el ransomware Borontok bloquea el nombre con probablemente un cifrado AES, luego codifica con #, la URL codifica y luego añade la extensión .rontok al nombre del archivo. Al final, el título principal del archivo cambia por una secuencia aleatoria de letras y números.

Así que, para que el usuario sepa lo que ha ocurrido en su ordenador gracias a otros procesos ejecutados en secreto en segundo plano, el virus Borontok deja la nota de rescate y enlaza a la web de pago diciendo esto:

Ups … Sus archivos han sido encriptados

Y sus archivos de bases de datos también han sido encriptados

la UUID: [unique ID]

el Clic para encontrar aquí la clave de desencriptación

Desencriptar

Y también esto:

Envíe 20 BTC a esta dirección:

3P8nU1oLe23DtSuzFQMoVJdqcJA6xKnVJC

Sus archivos y bases de datos serán destruidas en 3 días

¿Negociar? Contacte con: [email protected]

[unique ID]

Introduzca la TX ID BTC si ya ha enviado los bitcoin…

Revisar

Ahora, hay algunas web que funcionan como nota de rescate online, pero todas dicen lo mismo, que los archivos van a ser destruidos en 3 días si no paga y que puede negociar a través de email ([email protected], [email protected], [email protected]) con los hackers. Incluso aunque decida Contactar con ellos, hay pocas posibilidades de que el llamado ‘Vietnamese Hacker’ le devuelva sus archivos o reduzca el rescate a una cantidad razonable.

Ahora mismo, no hay mucha información sobre cómo es capaz de infectar los sistemas exactamente el ransomware Borontok, aunque lo más probable es que los criminales usen los métodos de distribución comunes, como malspam, redes P2P, Troyanos, kits de exploits, enlaces maliciosos camuflados, actualizaciones falsas, servicios RaaS y más cosas. El comentario principal en BleepingComputer dijo que los archivos del sistema fueron atacados después de que el virus encriptase la web del cliente y luego pasó al ordenador. Aunque esta técnica es posible, sabiendo la cantidad que exige el virus Borontok, sería ingenuo esperar que solo usa una manera para proliferar, por lo tanto se tienen que realizar medidas de seguridad completas y el ransomware Rontok debe ser eliminado de todos los lugares infectados para que su distribución no siga aumentando.

Cómo eliminar el virus Rontok y recuperar sus archivos

No hay una solución sencilla cuando se trata de arreglar todos los daños del virus Borontok (Rontok). Es una de las infecciones de malware más desafortunadas, porque incluso aunque elimine el ransomware, no le garantiza que ahora los archivos marcados con .rontok van a volver. Por supuesto, los usuarios que tengan copias de seguridad de sus archivos necesarios pueden estar tranquilos y restaurar los datos por sí mismos siguiendo las instrucciones de debajo. Pero de antemano, no importa si tiene copias de seguridad o no, debe eliminar el criptovirus Rontok, porque continuará dañando su ordenador y bloqueado los daños añadidos recientemente, re-encriptando archivos recuperados y más cosas. Para poder hacerlo, simplemente sugerimos confiar el problema del ransomware B0r0nt0k a programas anti-spyware especiales, que saben lo que están haciendo y no dejarán margen para el error.

Si su máquina comprometida está usando MacOS, entonces sugerimos Combo Cleaner, y si los datos afectados están en Windows, debería probar Spyhunter. No está obligado a quedarse el programa de seguridad y puede escoger cualquier, aunque asegúrese de que no es un programa antivirus malicioso, que podría empeorar la situación incluso más. Aquí tiene nuestra lista de programas de eliminación de malware con sus calificaciones, que pueden ayudarle a decidir. Solo cuando la máquina esté completamente libre del ransomware y otras amenazas, puede empezar los procesos de recuperación o volver a usar el ordenador con normalidad. Si no ha tenido oportunidad de realizar copias de seguridad o han sido eliminadas por el virus Rontok, no hay mucho que pueda hacer en este momento. Sin embargo, como los expertos de malware están trabajando en el desencriptador, sugerimos que guarde los archivos .rontok en el ordenador y revise si hay actualizaciones del desencriptador en Nomoreransom.org, 2-viruses.com o los foros de seguridad.

Herramientas de extracción Malware automática