Detectado un nuevo ransomware que encripta los datos de sus víctimas

Según un informe publicado por AVG News, se ha detectado un nuevo ransomware que encripta los datos de las máquinas infectadas, haciendo que determinados archivos sean inaccesibles para los usuarios.

Esta es una nueva variante del conocido ransomware que nos bloquea el PC haciéndose pasar por la policía, que ahora nos encripta imágenes, documentos y archivos ejecutables en un intento de impedir cualquier intento de eliminación. La máquina no queda incapacitada totalmente y sigue funcionando, aunque muchos datos se perderán y algún programa dejará de funcionar. Aunque según el informe, los archivos de sistema Windows no quedarían encriptados.

Según el informe, después de su ejecución, el malware genera aleatoriamente ejecutables ctfmon.exe o svchost.exe e inyecta su propio código. El proceso del sistema de inyección ejecuta una copia en la carpeta %TEMP%, creando procesos ctfmon.exe o svchost.exe con el código inyectado.
En primer lugar, el malware genera un único ID del equipo, ID que luego utiliza para producir una clave de cifrado con funciones de cifrado de la API como “advapi32!CryptHashData” y “advapi32!CryptDeriveKey”. Ahora el malware envía peticiones con el ID del ordenador a su servidor de comando y control, cifrando sus comunicaciones en el servidor con la primera llave y permitiendo que el troyano pueda descifrarlos en los equipos infectados. A continuación, se crea una segunda clave utilizando "advapi!CryptGenKey", con la que el atacante podría descifrar los archivos cifrados una vez pagado el rescate.

AVG ha detectado el virus como "Trojan horse Generic31.LBT" y ha identificado su MD5 como "51B046256DB58B603A27EBA8DEE05479".


Fuente: Csospain