Virlock, ransomware que infecta archivos y tiene poderes de resurección

Se ha encontrado esta familia de malwares, detectado como PE_VIRLOCK, que además de bloquear la pantalla de la computadora se encarga de infectar los archivos (el primero de esta clase)

Virlock tiene las características básicas de un ransomware, bloquea la computadora deshabilitando explorer.exe y previniendo el uso de taskmgr.exe. Pero es más peligroso debido a un nuevo módulo incluido para la infección de archivos.

Este módulo se hace cargo de revisar la computadoras infectadas en busca de tipos de archivos específicos, incluyendo .exe, .doc, .xls, .pdf, .ppt, .mdb, .zip, .rar, .mp3, .mpg, .wma, .png, .gif, .bmp, .jpg, .jpeg, .psd, .p12, .cer, .crt, .p7b, .pfx and .pem.

Si encuentra algún archivo, Virlock se encarga de cifrar y embeber el archivo dentro del cuerpo del malware mientras se añade una sección .RSRC.

Los investigadores dijeron que las capacidades de infección ofrecen a los atacantes una variedad de poderes sobre el equipo de la víctima y hace la detección y la desaparición del malware más difícil.

“Virlock se encarga de cifrar los archivos de sistema para hacer más difícil a las soluciones existentes de seguridad limpiar y restaurar los archivos infectados,” dice el aviso. “Basados en nuestro análisis, Virlock usa cifrado personalizado de dos capas”. Primero es una combinacion de los cifrados XOR y ROL (rotación a la izquierda) y la segunda capa es un cifrado del tipo XOR.

“Si el sistema no fue limpiado en su totalidad, la presencia de un sólo archivo infectado detonaría la cadena de infección una vez más.”

Los archivos maliciosos también tienen capacidades de autoesparcimiento y pueden infectar sistemas adicionales moviéndose a través de una red infectada o siendo transferidos mediante una USB.
Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2181