Venus Locker, un nuevo ransomware escrito en .NET

El ransomware supone a día de hoy la mayor amenaza en la historia de la informática. Este tipo de malware, que empezó como un simple engaño en el que, supuestamente, se bloqueaba el ordenador por visitar webs pornográficas y teníamos que pagar una multa, se ha convertido en una peligrosa herramienta que cifra todos los datos de los usuarios y pide el pago de un rescate a cambio de la clave privada del programa, sin la cual, los datos se perderán para siempre.

Cada poco tiempo aparecen en la red nuevas variantes de ransomware, cada una con unas características propias, que al final buscan el mismo objetivo, es decir, infectar el ordenador de la víctima y pedir el pago de un rescate por los datos. Mientras que los investigadores de seguridad buscan cómo romper la seguridad del malware para permitir la recuperación de los datos de forma gratuita, los piratas informáticos, por su parte, buscan crear el malware más complejo de manera que tanto su descubrimiento como análisis y correspondiente crackeo sea lo más complicado posible.

Venus Locker es un nuevo ransomware detectado en la red hace unos días cuya principal característica es que está programado completamente en .NET.

Cómo funciona el ransomware Venus Locker

Cuando este ransomware infecta el ordenador de un usuario, automáticamente crea un archivo llamado “U2FsdGVKX1DKeR.vluni” para dejar constancia de que el equipo está infectado. A continuación, el malware se comunica con el servidor del pirata informático al que manda el ID y la clave privada generada para registrar al usuario en el servidor.

Una vez registrado, comienza el cifrado de los datos, para lo que utiliza una clave estática AES-256 incluida en el malware y una clave pública RSA-2048. Mientras que por lo general se utilizará la clave RSA para el cifrado, la clave AES sirve como salvoconducto, y será utilizada en el caso de que el ransomware no pueda conectarse con el servidor de control. A continuación comienza el cifrado añadiendo a todos los archivos la extensión .Venusf y omitiendo ciertos directorios de Windows para evitar problemas.

Los piratas informáticos responsables de Venus Locker piden el pago de un rescate de 100 dólares, en Bitcoin, a cambio de la clave privada para recuperar los datos. Si el pago no se realiza en 72 horas, la clave se eliminará del servidor y los datos se perderán para siempre.


Venus Locker

Como podemos ver, Venus Locker no es precisamente el ransomware más sofisticado, ya que otros como Cerber, Petya, Mischa o Locky le superan en múltiples aspectos, sin embargo, sí se trata de una nueva amenaza que no debemos pasar por alto. Por el momento no es posible recuperar los datos cifrados sin pagar, a no ser que el ransomware no pudiera conectarse a Internet y utilizara la clave estática para el cifrado de los mismos.

Ver información original al respecto en Fuente:
to-net/#sthash.EczN3akq.dpuf

Analisis de dicho ransomware en virustotal: https://virustotal.com/en/file/d31afd6d582a666e121a1e1df8bc15a93a8793c46c2814730da2e56fdce3ba4a/analysis/

Se controlará a partir de ELISTARA 35.09 de final de mes
Mientras puede detectarse/eliminarse con ELIMD5.EXE indicando 8675ffb697ad944748e0e24ac1a962ce

saludos

ms, 18-8-2016

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies