Viernes 23 de junio de 2017
A huge collection of 3400+ free website templates JAR theme com WP themes and more at the biggest community-driven free web design site
Inicio | Noticias | Ransom32 – ¡FileCoder a la vista!

Ransom32 – ¡FileCoder a la vista!

Un nuevo ransomware ha sido descubierto recientemente y, entre sus características distintivas de otras amenazas similares, está el hecho de que se hace pasar por el navegador Google Chrome. Las soluciones de ESET lo detectan como Win32/Filecoder.NFR y fue analizado inicialmente por la compañía Emsisoft, que lo bautizó como Ransom32.

Opera bajo la modalidad de “Ransomware as a Service” desde un servidor oculto en la red Tor. Desde allí los cibercriminales pueden configurar qué malware infectará a la víctima, cuántos bitcoins pedirá y los mensajes amenazantes que mostrará. Además, se pueden ver las estadísticas de infecciones y de pagos efectuados. Una vez que Ransom32 se instala en el sistema y es ejecutado, depositará todos sus archivos maliciosos en la carpeta de archivos temporales, y se asegurará de ser ejecutado en cada arranque.

El archivo malicioso, chrome.exe, intenta hacerse pasar por el conocido navegador Chrome. Sin embargo, en las propiedades del archivo es posible notar que no se encuentra firmado digitalmente y que la información sobre versión y nombre del producto ha sido borrada.

Un detalle a mencionar que resulta ser distintivo de Ransom32, es que el ejecutable pesa alrededor de 45 MB, algo raro para el ransomware, que suele ser liviano en disco. De todas formas, esto tiene sentido al entender que se hace pasar por un navegador.

Ransom32

Matías Porolli, Malware Analyst de ESET

“Una vez que el usuario ejecuta la aplicación, se realizan en el sistema afectado las actividades típicas de un ransomware, como el cifrado de los archivos, el contacto con el servidor y la aparición de un mensaje solicitando el pago del rescate”

Las extensiones que busca para cifrar son más de 100, entre ellas las más habituales para archivos de texto e imágenes como TXT, DOC, JPG, GIF, AVI, MOV y MP4.

Los archivos se cifran utilizando AES con una clave de 128 bits, y se genera una nueva clave para cada archivo, según la investigación de Emsisoft. La clave es cifrada utilizando el algoritmo RSA y una clave pública que se obtiene del servidor C2 durante la primera comunicación.

Al tratarse de una variante de Filecoder, existen diferentes métodos para propagar esta amenaza:

  • Sitios maliciosos
  • Ataques drive-by-download
  • Archivos adjuntos en correos electrónicos
  • Utilizando otros troyanos de tipo Downloader o Backdoor

Para más información sobre el funcionamiento general del ransomware, no se pierdan este video compartido por Eset Latinoamérica en su canal de YouTube:

Acerca de Dark Zero

Ingeniero de profesión, desarrollador de tecnologías por vocación, músico por accidente, dibujante por afición, chef por instinto, enamorado de la vida, de la música, el anime y la tecnología.

Lee también

Kali Linux – Alternativas gratuitas

Las auditorías de seguridad son pruebas ofensivas contra los sistemas de defensa existentes en el …