Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Ransomware criptográfico envía archivos a cuarentena y roba información
Investigadores de Trend Micro han descubierto y analizado un nuevo ransomware criptográfico: CryptVault cifra los archivos, hace que se vean como archivos en cuarentena en un antivirus, pide un rescate y, por último, roba información descargándola.
Llega a los equipos después de que el usuario ha sido engañado para descargar y ejecutar un archivo adjunto malicioso de Javascript que descarga cuatro archivos: el propio ransomware, sDelete (una herramienta de MS Sysinternals que se utilizará para borrar archivos), GnuPG (herramienta legítima de código abierto de cifrado) y un archivo de biblioteca de GnuPG.
El ransomware utiliza GnuPG para crear un par de claves, pública y privada con RSA-1024 que se utilizan para cifrar y descifrar los archivos. Va dirigido a los tipos de archivos más populares, la mayoría son documentos, imágenes y archivos de bases de datos.
"Después de cifrar, el malware va a cambiar todas las extensiones de los archivos a *.vault asociadas a los iconos de candado. Cada archivo bloqueado y cifrado mostrará una nota de rescate cuando se abra", explica Michael Marcos, Ingeniero de Respuesta a Amenazas.
Una mayor y más detallada nota de rescate se muestra en el escritorio del sistema infectado. La nota de rescate y el portal de soporte de ransomware están en ruso, esta campaña está obviamente dirigida a usuarios de habla rusa.
"El malware elimina archivos clave, secring.gpg, vaultkey.vlt y confclean.lst, utilizando sDelete, una herramienta de Microsoft Sysinternals. sDelete es capaz de sobrescribir los datos de un archivo eliminado en el disco, haciendo difícil o casi imposible recuperar los archivos borrados", dice Marcos.
"Aunque esta no es la primera vez que vemos sDelete en ataques criptográficos con ransomware, parece que esta es la primera vez que el malware realiza 16 sobreescrituras para asegurarse de que las herramientas de recuperación lo tendrán difícil al tratar de reconstruir el archivo borrado".
Al final, el ransomware también descarga y ejecuta Browser Password Dump, una herramienta de hacking capaz de extraer las contraseñas almacenadas por los navegadores web más populares, que luego se envían al servidor de comando y control manejado por los atacantes.
