Lo Último

Fecha publicación: viernes, abril 10, 2015
Publicada por Martín Flores Contreras

RANSOMWARE CRIPTOGRÁFICO ENVÍA ARCHIVOS A CUARENTENA Y ROBA INFORMACIÓN

Investigadores de Trend Micro han descubierto y analizado un nuevo ransomware criptográfico: CryptVault cifra los archivos, hace que se vean como archivos en cuarentena en un antivirus, pide un rescate y, por último, roba información descargándola.

Llega a los equipos después de que el usuario ha sido engañado para descargar y ejecutar un archivo adjunto malicioso de Javascript que descarga cuatro archivos: el propio ransomware, sDelete (una herramienta de MS Sysinternals que se utilizará para borrar archivos), GnuPG (herramienta legítima de código abierto de cifrado) y un archivo de biblioteca de GnuPG.
El ransomware utiliza GnuPG para crear un par de claves, pública y privada con RSA-1024  que se utilizan para cifrar y descifrar los archivos. Va dirigido a los tipos de archivos más populares, la mayoría son documentos, imágenes y archivos de bases de datos.
"Después de cifrar, el malware va a cambiar todas las extensiones de los archivos a *.vault asociadas a los iconos de candado. Cada archivo bloqueado y cifrado mostrará una nota de rescate cuando se abra", explica Michael Marcos, Ingeniero de Respuesta a Amenazas.
Una mayor y más detallada nota de rescate se muestra en el escritorio del sistema infectado. La nota de rescate y el portal de soporte de ransomware están en ruso, esta campaña está obviamente dirigida a usuarios de habla rusa.
"El malware elimina archivos clave, secring.gpg, vaultkey.vlt y confclean.lst, utilizando sDelete, una herramienta de Microsoft Sysinternals. sDelete es capaz de sobrescribir los datos de un archivo eliminado en el disco, haciendo difícil o casi imposible recuperar los archivos borrados", dice Marcos.
"Aunque esta no es la primera vez que vemos sDelete en ataques criptográficos con ransomware, parece que esta es la primera vez que el malware realiza 16 sobreescrituras para asegurarse de que las herramientas de recuperación lo tendrán difícil al tratar de reconstruir el archivo borrado".
Al final, el ransomware también descarga y ejecuta Browser Password Dump, una herramienta de hacking capaz de extraer las contraseñas almacenadas por los navegadores web más populares, que luego se envían al servidor de comando y control manejado por los atacantes.
Fuente: Help Net Security ER

Editor

Publicada por Martín Flores Contreras en viernes, abril 10, 2015. Archivada en . Sigue nuestras publicaciones vía RSS RSS 2.0. Apóyanos para mejorar. Deja un comentario.

Por Martín Flores Contreras en viernes, abril 10, 2015. Archivada en . Sigue nuestras publicaciones vía RSS RSS 2.0. Deja un comentario

0 comentarios for "RANSOMWARE CRIPTOGRÁFICO ENVÍA ARCHIVOS A CUARENTENA Y ROBA INFORMACIÓN"

Leave a reply

Más vistos