Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Virlock, infecta archivos y se reinstala después de eliminado
Crackers diseñaron un ransomware de tipo polimórfico conocido como Virlock, ha sido mejorado para infectar archivos y, según Trend Micro, se reinstala después de ser eliminado.
Los investigadores Jaaziel Carlos, John Chua y Rodwin Fuentes de Trend Micro han reportado sobre el ransomware Virlock en un aviso de amenaza.
"Hemos encontrado una familia de malware, detectado como PE_VIRLOCK, que además de bloquear la pantalla de la computadora se encarga de infectar los archivos (el primero de esta clase)" se lee en el aviso.
Virlock tiene las características básicas de un ransomware, bloquea la computadora deshabilitando explorer.exe y previniendo el uso de taskmgr.exe. Pero es más peligroso debido a un nuevo módulo incluido para la infección de archivos.
Este módulo se hace cargo de revisar la computadoras infectadas en busca de tipos de archivos específicos, incluyendo .exe, .doc, .xls, .pdf, .ppt, .mdb, .zip, .rar, .mp3, .mpg, .wma, .png, .gif, .bmp, .jpg, .jpeg, .psd, .p12, .cer, .crt, .p7b, .pfx and .pem.
Si encuentra algún archivo, Virlock se encarga de cifrar y embeber el archivo dentro del cuerpo del malware mientras se añade una sección .RSRC.
Los investigadores dijeron que las capacidades de infección ofrecen a los atacantes una variedad de poderes sobre el equipo de la víctima y hace la detección y la desaparición del malware más difícil.
"Virlock se encarga de cifrar los archivos de sistema para hacer más difícil a las soluciones existentes de seguridad limpiar y restaurar los archivos infectados," dice el aviso. "Basados en nuestro análisis, Virlock usa cifrado personalizado de dos capas". Primero es una combinacion de los cifrados XOR y ROL (rotación a la izquierda) y la segunda capa es un cifrado del tipo XOR.
"Si el sistema no fue limpiado en su totalidad, la presencia de un sólo archivo infectado detonaría la cadena de infección una vez más."
Los archivos maliciosos también tienen capacidades de autoesparcimiento y pueden infectar sistemas adicionales moviéndose a través de una red infectada o siendo transferidos mediante una USB.
Los investigadores de Trend Micro dijeron que los métodos de defensa y evasión de Virlock son debido a su diseño polimórfico.
