Trojan-Ransom.MSIL.Tear.x Ransomware basado en Hidden Tear, el ransomware de código abierto, que ya cuenta con 24 variantes maliciosas

Datos secuestrados por ransomware

En los últimos dos años, el ransomware se ha vuelto cada vez una amenaza más agresiva y peligrosa para los usuarios. Este tipo de malware, muy complicado de detectar y eliminar, cifra los datos de los usuarios y pide un rescate para poder recuperarlos. De no pagarse dicho rescate, los datos quedan cifrados y se pierden para siempre, incluso aunque paguemos, las probabilidades de recuperarlos no son, ni de cerca, del 100%, por lo que, en caso de ser víctimas, siempre recomendamos asumir la pérdida de los archivos antes que perder los archivos y nuestro dinero.

to de un ransomware, un investigador de seguridad creó una variante de este tipo de malware de código abierto, llamada Hidden Tear, y la puso a disposición de todos en la red. Sin embargo, como es habitual, mientras muchos investigaban sobre este tipo de malware para crear soluciones de seguridad, otros han optado por aprovechar el trabajo de este investigador para darle la vuelta y crear sus propias variantes maliciosas con las que atacar a los usuarios.

Hace varios días hablamos de un nuevo ransomware basado en Hidden Tear, llamado Magic, que causó la pérdida irrecuperable de los archivos debido a que las claves de cifrado fueron eliminadas del servidor, impidiendo así su recuperación, aunque se pagara la licencia.

Aunque todo el código fuente de Hidden Tear ha sido eliminado de GitHub, muchos usuarios lo descargaron y crearon forks del proyecto, por lo que ahora es imposible detenerlo. Aunque muchos siguen estudiando su comportamiento, cada vez son más los piratas informáticos que están utilizando este código fuente para crear nuevas variantes maliciosas de él.

Ransomware Hidden Tear en GitHub

Kaspersky ha publicado un informe donde afirma haber encontrado ya más de 24 ransomware diferentes basados en Hidden Tear, número que, preocupantemente, sigue en aumento. Cada una de estas variantes funciona de una forma específica. Una de ellas, por ejemplo, cifra solo los datos del escritorio, otra pide al usuario que envíe la clave de cifrado manualmente a través de un correo electrónico (algo un poco raro), otras hacen uso de un servidor C&C para llevar un ataque más complejo y, por desgracia, algunas de las variantes están causando la pérdida irrecuperable de los archivos que cifran debido a una mala configuración del servidor C&C del ransomware, e incluso hecho a propósito, para hacer daño.

Todas estas variantes han sido denominadas como Trojan-Ransom.MSIL.Tear.x, siendo X una letra diferente según la variante.

Utku Sen, responsable de Hidden Tear, se arrepiente de lo que ha creado

Utku Sen no tenía mala intención en la creación de su ransomware de código abierto, es más, estaba seguro de que sería utilizado para poder aprender más sobre el funcionamiento de este nuevo y peligro tipo de malware cada vez más abundante en la red, sin embargo, no pudo imaginarse que algunos usuarios lo utilizarían para hacer el mal.

¿Su error? Probablemente el hacer creado un ransomware totalmente funcional. Este investigador de seguridad podría haber aplicado ciertas medidas que impidieran que cualquiera pudiera hacer uso de él para su propio beneficio, sin embargo, el daño ya está hecho, y poco más se puede hacer salvo retirar el proyecto original, aunque de poco sirve.

Aunque su creación ha sido eliminada de GitHub, desde la página de su proyecto informa que si algún investigador de seguridad sigue interesado en el código de su ransomware puede solicitárselo por correo electrónico.

Ver información original al respecto en Fuente: to-ya-cuenta-con-24-variantes-maliciosas/#sthash.sHJ4gwuo.dpuf

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies