Amenaza TellYouThePass

*Fuente del reclamo SH puede eliminarlo.

Creamos la siguiente información para guiarlo en la eliminación del ransomware TellYouThePass e indicarle cómo evitar infecciones repetidas. Eliminarlo es sólo la mitad de la batalla. La otra parte es cerrar la vulnerabilidad CVE-2024-4577 y garantizar que no haya nada en la PC infectada que pueda restaurar el TellYouThePass Ransomware.

¿Qué tipo de amenaza es el TellYouThePass Ransomware?

TellYouThePass es un ransomware de “nivel básico” que surgió por primera vez en 2019. Esto se ha dicho varias veces en los medios de comunicación, pero es muy poco consuelo para las víctimas reales del malware. En términos sencillos: el ransomware TellYouThePass no es muy sofisticado, pero cuando completa el cifrado de sus archivos, no hay diferencia entre este y otros ransomware. Tiene muy pocas posibilidades de recuperar sus archivos si no tiene copias de seguridad.

Recientemente (junio de 2024), TellYouThePass Ransomware ganó una atención renovada por explotar vulnerabilidades encontradas recientemente como Log4j de Apache. Pero, a diferencia de otros grupos de ciberdelincuentes, TellYouThePass no mantiene un blog público ni un repositorio de datos de las víctimas, lo que añade una capa de imprevisibilidad a sus operaciones. Se dirige tanto a empresas como a particulares, con un alcance inescrupulosamente amplio en cuanto a víctimas potenciales.

Descargar herramienta de eliminación depara eliminar TellYouThePass

En el pasado observamos TellYouThePass Rnsomware explotando CVE-2021-44228, pero mucho más recientemente apuntó a la vulnerabilidad CVE-2024-4577 recién descubierta. Actualmente, el grupo de ransomware está explotando en gran medida la ejecución remota de código explotable recién parcheado en PHP. Esto permite a los atacantes entregar webshells y ejecutar sus cargas útiles de cifrado en los sistemas de destino.

Los ataques por los que probablemente esté aquí comenzaron el 8 de junio, sólo 48 horas después de que los mantenedores de PHP publicaran actualizaciones de seguridad. Los atacantes utilizaron código de explotación disponible públicamente (en Github). Esto implicaba ejecutar código PHP arbitrario utilizando el binario mshta.exe de Windows para ejecutar una aplicación HTML maliciosa. El grupo muestra una clara preferencia por explotar vulnerabilidades conocidas en lenguajes de desarrollo web de código abierto. Desafortunadamente, esto significa que TellYouThePass Ransomware no se limita a Windows, sino que también puede infectar a usuarios de Linux.

Cómo TellYouThePass explota CVE-2024-4577

Esta información es más adecuada para personas conocedoras de la tecnología:

Varias versiones de PHP anteriores a la 8.3.8 tienen una vulnerabilidad significativa cuando se usan con Apache y PHP-CGI. Si se configuran ciertas páginas de códigos, Windows podría usar un comportamiento de "Mejor ajuste", reemplazando caracteres en la línea de comando proporcionada a las funciones de la API de Win32. Tal comportamiento hace que el CGI confunda esos caracteres con opciones de PHP, lo que a su vez permite a un delincuente pasar opciones al binario de PHP. Colocamos esto aquí como una explicación simple en caso de que desee el contexto de lo que está sucediendo.

Si lo perdimos aquí, le recomendamos comunicarse con un administrador del sistema o simplemente usar SpyHunter como se recomienda en nuestros anuncios.

Descargar herramienta de eliminación depara eliminar TellYouThePass

TellYouThePass usa el binario mshta.exe de Windows para ejecutar un archivo HTA, que es un contenedor para un VBScript con una cadena codificada en base64. La cadena se decodifica en un binario, carga una variante .NET del ransomware en la memoria del host y, en ese momento, ya está infectado con TellYouThePass Ransomware. El malware envía una solicitud HTTP a un servidor de comando y control (C2) en forma de una solicitud de recurso CSS falsa. A partir de ese momento, funciona como un ransomware estándar: cifra los archivos de la máquina infectada.

Una vez finalizado el cifrado, TellYouThePass Ransomware coloca una nota de rescate titulada "READ_ME10.html" con instrucciones sobre cómo restaurar los archivos. Desafortunadamente, la mayoría de las víctimas notan la infección sólo en ese momento, que es demasiado tarde para hacer algo al respecto. La demanda de rescate actual se fija en 0,1 BTC (alrededor de 6.700 dólares). Actualmente, varios sitios web en línea están infectados y pueden actuar como vectores si esto persiste.

Cómo evitar infecciones repetidas por TellYouThePass Ransomware

Hay formas de mitigar la vulnerabilidad de la falla de PHP y evitar nuevos ataques de TellYouThePass Ransomware (u otro malware que siga su ejemplo). En primer lugar, puede parchear los sistemas afectados, lo que parece una obviedad. Pero es un paso esencial. Muchos sitios web no se actualizan periódicamente por temor a estropear las funcionalidades del back-end o del front-end, pero esto garantizará que el virus no regrese.

En segundo lugar, no ejecute PHP con el modo CGI habilitado. Como puede ver con Log4j, es un desafío actualizar todos los sistemas afectados por una falla en un lenguaje de secuencias de comandos web. Puede migrar a arquitecturas más seguras como Mod-PHP, FastCGI o PHP-FPM. En general, PHP CGI está desactualizado y es problemático.

También puede seguir otras mejores prácticas, pero son más generales y no están directamente relacionadas con TellYouThePass Ransomware. Haga un balance periódicamente de todos los activos y aplicaciones de su entorno de trabajo. Puede parchear cualquier vulnerabilidad que los afecte. Utilice la tecnología de firewall web para detener los ataques y, ya que está aquí, le recomendamos comprar un programa antimalware como primera línea de defensa.

¿Qué puedes hacer para mitigar el daño causado por TellYouThePass Ransomware?

Es muy importante actuar de inmediato y apagar el dispositivo infectado si detecta TellYouThePass Ransomware desde el principio. Aísle el sistema infectado inmediatamente de otros dispositivos en la red o el ransomware puede propagarse a través de ellos. Esto ayuda a contener la infección y detiene el cifrado adicional de archivos.

A continuación, identifique la cepa de ransomware con la que se está enfrentando. Saber que es TellYouThePass significa que los archivos se agregarán con una extensión .LOCKED. Puede encontrar herramientas o recursos de descifrado específicos aquí, pero probablemente no le ayudarán. Desafortunadamente, no existe un método garantizado para descifrar archivos sin pagar el rescate, pero comunicarse con empresas de ciberseguridad puede brindar opciones.

La restauración de copias de seguridad es su mejor opción para restaurar los archivos, pero esto solo es viable si tiene copias de seguridad en primer lugar. Si TÍ los tienes, asegúrate de que estén almacenados sin conexión o TellYouThePass Ransomwaare puede propagarse a ellos. Asegúrese de limpiar sus sistemas a fondo antes de restaurarlos a un estado previo al ataque para evitar una reinfección.

Aprender a extraer TellYouThePass del ordenador

Paso 1. Eliminar TellYouThePass mediante anti-malware

a) Windows 7 / Vista / XP

  1. Inicio → Apagar → Reiniciar.win7-restart Amenaza TellYouThePass
  2. Cuando la PC comience a cargar, siga presionando F8 hasta que aparezcan las Opciones de arranque avanzadas.
  3. Seleccione Modo seguro con funciones de red.win7-safe-mode Amenaza TellYouThePass
  4. Cuando su computadora cargue, descargue anti-malware usando su navegador.
  5. Utilice anti-malware para deshacerse del ransomware.

b) Windows 8/10

  1. Abra el menú Inicio, presione el logotipo de Energía.
  2. Mantenga presionada la tecla Shift y presione Reiniciar.win10-restart Amenaza TellYouThePass
  3. Luego Solucionar problemas → Opciones avanzadas → Configuración de inicio.win-10-startup Amenaza TellYouThePass
  4. Vaya a Habilitar Modo seguro (o Modo seguro con redes).win10-safe-mode Amenaza TellYouThePass
  5. Presione Reiniciar.
  6. Cuando su computadora cargue, descargue anti-malware usando su navegador.
  7. Utilice anti-malware para deshacerse del ransomware.

Paso 2. Eliminar TellYouThePass usando Restaurar sistema

a) Windows 7 / Vista / XP

  1. Inicio → Apagar → Reiniciar.win7-restart Amenaza TellYouThePass
  2. Cuando la PC comience a cargar, siga presionando F8 hasta que aparezcan las Opciones de arranque avanzadas.
  3. Seleccione Modo seguro con símbolo del sistema.win7-safe-mode Amenaza TellYouThePass
  4. En la ventana que aparece, escribe cd restore y presiona Enter.
  5. Escriba rstrui.exe y presione Entrar.win7-command-prompt Amenaza TellYouThePass
  6. En la ventana que aparece, seleccione un punto de restauración y presione Siguiente. Asegúrese de que el punto de restauración sea anterior a la infección.win7-restore Amenaza TellYouThePass
  7. En la ventana de confirmación que aparece, presione Sí.

b) Windows 8/10

  1. Abra el menú Inicio, presione el logotipo de Energía.
  2. Mantenga presionada la tecla Shift y presione Reiniciar.win10-restart Amenaza TellYouThePass
  3. Luego Solucionar problemas → Opciones avanzadas → Símbolo del sistema.win-10-startup Amenaza TellYouThePass
  4. Haz clic en Reiniciar.
  5. En la ventana que aparece, escribe cd restore y presiona Enter.
  6. Escriba rstrui.exe y presione Entrar.win10-command-prompt Amenaza TellYouThePass
  7. En la ventana que aparece, presione Siguiente, elija un punto de restauración (antes de la infección) y presione Siguiente.win10-restore Amenaza TellYouThePass
  8. En la ventana de confirmación que aparece, presione Sí.

Paso 3. Recupera tus datos

a) Método 1. Uso de Data Recovery Pro para recuperar archivos

  1. Obtenga Data Recovery Pro del sitio web oficial.
  2. Instálalo y ábrelo.
  3. Utilice el programa para buscar archivos cifrados.data-recovery-pro Amenaza TellYouThePass
  4. Si los archivos son recuperables, el programa te permitirá hacerlo.data-recovery-pro-scan Amenaza TellYouThePass

b) Método 2. Usar versiones anteriores de Windows para recuperar archivos

Para que este método funcione, Restaurar sistema debe estar habilitado antes de las infecciones.
  1. Haga clic derecho en el archivo que desea recuperar.
  2. Seleccione Propiedades.win-previous-version Amenaza TellYouThePass
  3. Vaya a la pestaña Versiones anteriores, seleccione la versión del archivo que desee y haga clic en Restaurar.

c) Método 3. Uso de Shadow Explorer para recuperar archivos

Su sistema operativo crea automáticamente instantáneas de sus archivos para que pueda recuperar archivos si su sistema falla. Es posible recuperar archivos de esta manera después de un ataque de ransomware, pero algunas amenazas logran eliminar las instantáneas. Si tiene suerte, debería poder recuperar archivos a través de Shadow Explorer.
  1. Debe descargar el programa Shadow Explorer, que se puede obtener en el sitio oficial, shadowexplorer.com.
  2. Instálalo y ábrelo.
  3. Seleccione el disco donde se encuentran los archivos, elija la fecha y cuando aparezcan las carpetas con los archivos, presione Exportar.shadowexplorer Amenaza TellYouThePass

Deja un comentario

Tu dirección de correo electrónico no será publicada.