Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Nuevo ransomware para macOS se disfraza como software de herramientas de craqueo
El nuevo cryptoransomware llamado Filecoder está acechando a los usuarios de macOS, advierten los investigadores de ESET.
Disfrazado como una aplicación de craqueo/parche de copias legales de Adobe Premiere Pro y Microsoft Office para Mac, el malware se distribuye a través de sitios de distribución de BitTorrent.
Los usuarios que descargan un archivo ZIP (paquete de aplicaciones) que contenga el ransomware y lo ejecuten, se enfrentarán a una ventana y a un botón de “Inicio” que se les indicará que presionen para craquear el software. Desafortunadamente para ellos, al presionar el botón se dispara el proceso de cifrado en segundo plano.
El malware deja la nota de rescate en el sistema, genera una cadena aleatoria de 25 caracteres para usarla como clave de cifrado, comienza a enumerar y cifrar los archivos que se encuentra en el directorio del usuario y monta el almacenamiento externo y de red y finalmente elimina las versiones originales de los archivos.
El mensaje de rescate indica a la víctimas que compren 0.25 BTC, lo envíen a la cartera del ciberatacante de Bitcoin y mantengan su computadora conectada a internet por las próximas 24 horas para que los archivos puedan ser descifrados.
Pero esta promesa es falsa: Filecoder no puede comunicarse con un servidor C&C, lo que significa que el ciberatacante no recibió la clave del cifrado y, por lo tanto, no puede descifrar los archivos de las víctimas.
“Por desgracia, la contraseña ZIP aleatoria es generada con arc4random_uniform que se considera un generador de números aleatorios seguros. La clave también es demasiado larga para romperla en un cantidad razonable de tiempo,” señalaron los investigadores.
Como se conoce la dirección de la cartera Bitcoin del ciberatacante y siempre es la misma, es fácil ver que, hasta ahora, nadie ha pagado el rescate.
En general, pagar un rescate por archivos cifrados es una propuesta complicada, ya que no hay garantía de que obtendrá sus archivos de regreso. En este caso, no se garantiza la devolución de los archivos.
Esta pieza de malware obviamente no es una obra maestra en técnica, y falla en hacer algunas cosas que intenta hacer, pero desafortunadamente cifra archivos muy bien.
