NUEVA FAMILIA DE RANSOMWARES CRYPTVAULT – (PRIMICIA INFORMATIVA)

Mas Ransomwares…

Ahora el “CryptVault”, que codifica los archivos del usuario haciendolos pasar por archivos de la cuarentena de algun antivirus pidiendo rescate, y finalmente descargan malware que roba información.

Segun los investigadores de Trend Micro, llega a los equipos de destino después de que el usuario haya sido engañado para descargar y ejecutar un adjunto malicioso – un archivo de Javascript – que descargará cuatro archivos: el propio ransomware, SDelete (una herramienta MS Sysinternals que será utilizada para eliminar los archivos), GnuPG (herramienta de cifrado legítimo open source) y un archivo de biblioteca de GnuPG.

El ransomware utiliza GnuPG para crear dos claves RSA-1024 públicas y privadas que serán utilizadas para cifrar y descifrar los archivos. Se dirige a los tipos de archivos más populares, sobre todo a documentos, imágenes y archivos de base de datos.

“Después del cifrado, el malware va a cambiar todas las extensiones de los archivo a la extensión * .vault asociadas a los iconos de candado. Cada archivo ‘bloqueado’ y cifrado mostrará una nota de rescate cuando se abre,” explica el ingeniero Michael Marcos.

Una mayor y más detallada nota de rescate se muestra en el escritorio del sistema infectado. Teniendo en cuenta que la nota de rescate y el portal de soporte del ransomware están en ruso, esta campaña está obviamente dirigida a usuarios de habla rusa.

“El malware elimina archivos claves, secring.gpg, vaultkey.vlt y confclean.lst, utilizando SDelete, una herramienta de Microsoft Sysinternals. SDelete es capaz de sobrescribir los datos del disco de un archivo eliminado logrando que sea difícil o casi imposible de recuperar los archivos borrados “, afirma Marcos.

“Aunque esta no es la primera vez que estamos viendo a SDelete siendo utilizado en ataques criptográficos de tipo ransomware, parece que esta es la primera vez que el malware utiliza 16 pasadas de sobreescritura para asegurarse de que las herramientas de recuperación tengan un momento difícil intentando de reconstruir el archivo borrado “.

Al final, el ransomware también descarga y ejecuta Browser Password Dump, una herramienta hacking capaz de extraer las contraseñas almacenadas en un gran número de navegadores web populares, luego se enviarán los datos al servidor de comando y control de los atacantes.

Ver informacion original al respecto en Fuente:
to-ransomware-encrypts-and-quarantines-files/

Comentario:

Cabe añadir que el cifrado de ficheros los hace sobre los de las siguientes extensiones:

“*.xls, *.doc, *.pdf, *.rtf, *.psd, *.dwg, *.cdr, *.cd, *.mdb, *.1cd, *.dbf, *.sqlite, *.jpg, *.zip”

Aun no hemos tenido incidencias, por lo que no disponemos de muestras para analizar y controlar, lo cual haremos tan pronto las recibamos, de lo cual informaremos

saludos

ms, 9-4-2015