EL NEMUCOD SE VALE DE PHP Y JAVASCRIPT PARA DESCARGAR E INSTALAR RANSOMWARES

El punto de partida de esta amenaza fue el año 2015 y desde entonces se le ha considerado un downloader, es decir, una virus informático desarrollado cuya principal finalidad no es otra que realizar la descarga de otras. Sin ir más lejos, hemos tenido la oportunidad de ver como ha distribuido algunos de los ransomware más problemáticos para los usuarios. Esta es la función de estas amenazas, instalar otras y nada más y nada menos, algo que no parece muy útil. Por este motivo, los propietarios han decidido dar una vuelta de rosca al downloader que ha pasado a convertirse en ransomware. Sí, habéis leído bien, a partir de ahora se trata de una amenaza que llevará a cabo el cifrado de los archivos almacenados en el equipo.

Desde el pasado mes de marzo, los propietarios han publicado varias versiones que cifraban los archivos utilizando la versión .crypted. Los expertos en seguridad de la empresa de seguridad Intel usan una combinación de JavaScript y PHP para llevar a cabo el cifrado de estos. La forma de distribuir la amenaza no ha variado, tal y como adelantamos hace días, haciendo uso de correos electrónicos spam y utilizando archivos adjuntos ejecutables para infectar los equipos, haciendo creer obviamente a los usuarios que se encuentran ante un PDF o un archivo perteneciente a la suite ofimática Microsoft Office.

Esta versión de Nemucod debería ser fácil de crackear

Cuando hablamos de un cifrado de archivos muchos lo asocian con echarse las manos a la cabeza y dar por perdidos los archivos. Según los responsables de Intel Security, el cifrado no es extremadamente robusto, pudiendo aplicar ingeniería inversa que debería permitir recuperar los archivos de una forma más o menos sencilla. Todavía no está disponible ninguna herramienta que automatice el proceso, por lo que sigue siendo recomendable recurrir a copias de seguridad periódicas para cubrirnos las espaldas ante estos problemas.

Como información adicional, decir que en esta ocasión los ciberdelincuentes solicitan el pago de 0.37 Bitcoins, que vinen a ser unos 254 dólares. Pero ya se sabe que se desaconseja realizar el pago para no fomentar el crecimiento de lo que ya se considera una industria.

– Ver información original al respecto en Fuente:
http://www.redeszone.net/2016/06/22/mas-detalles-nemucod-se-vale-php-javascript-infectar-equipos/#sthash.W9F3e9mO.dpuf

COMENTARIO:

Ayer mismo informábamos de dos mails masivos que anexaban ficheros ZIP que contenían ficheros .js los cuales, al monitorizarlos, vimos que instalaban dos distintos ransomwares, uno el CERBER y el otro el LOCKY.

En otras ocasiones tambien ha instalado el tan conocido CRYPTOLOCKER, asi que no es de extrañar que instalen cualquier otro, ya conocido o aun desconocido !

saludos

ms, 23-6-2016