Venus Locker, un nuevo ransomware escrito en .NET

El ransomware supone a día de hoy la mayor amenaza en la historia de la informática. Este tipo de malware, que empezó como un simple engaño en el que, supuestamente, se bloqueaba el ordenador por visitar webs pornográficas y teníamos que pagar una multa, se ha convertido en una peligrosa herramienta que cifra todos los datos de los usuarios y pide el pago de un rescate a cambio de la clave privada del programa, sin la cual, los datos se perderán para siempre.

Cada poco tiempo aparecen en la red nuevas variantes de ransomware, cada una con unas características propias, que al final buscan el mismo objetivo, es decir, infectar el ordenador de la víctima y pedir el pago de un rescate por los datos. Mientras que los investigadores de seguridad buscan cómo romper la seguridad del malware para permitir la recuperación de los datos de forma gratuita, los piratas informáticos, por su parte, buscan crear el malware más complejo de manera que tanto su descubrimiento como análisis y correspondiente crackeo sea lo más complicado posible.

Venus Locker es un nuevo ransomware detectado en la red hace unos días cuya principal característica es que está programado completamente en .NET.

Cómo funciona el ransomware Venus Locker

Cuando este ransomware infecta el ordenador de un usuario, automáticamente crea un archivo llamado “U2FsdGVKX1DKeR.vluni” para dejar constancia de que el equipo está infectado. A continuación, el malware se comunica con el servidor del pirata informático al que manda el ID y la clave privada generada para registrar al usuario en el servidor.

Una vez registrado, comienza el cifrado de los datos, para lo que utiliza una clave estática AES-256 incluida en el malware y una clave pública RSA-2048. Mientras que por lo general se utilizará la clave RSA para el cifrado, la clave AES sirve como salvoconducto, y será utilizada en el caso de que el ransomware no pueda conectarse con el servidor de control. A continuación comienza el cifrado añadiendo a todos los archivos la extensión .Venusf y omitiendo ciertos directorios de Windows para evitar problemas.

Los piratas informáticos responsables de Venus Locker piden el pago de un rescate de 100 dólares, en Bitcoin, a cambio de la clave privada para recuperar los datos. Si el pago no se realiza en 72 horas, la clave se eliminará del servidor y los datos se perderán para siempre.

Venus Locker

Como podemos ver, Venus Locker no es precisamente el ransomware más sofisticado, ya que otros como Cerber, Petya, Mischa o Locky le superan en múltiples aspectos, sin embargo, sí se trata de una nueva amenaza que no debemos pasar por alto. Por el momento no es posible recuperar los datos cifrados sin pagar, a no ser que el ransomware no pudiera conectarse a Internet y utilizara la clave estática para el cifrado de los mismos.

Ver información original al respecto en Fuente:
to-net/#sthash.EczN3akq.dpuf

Analisis de dicho ransomware en virustotal: https://virustotal.com/en/file/d31afd6d582a666e121a1e1df8bc15a93a8793c46c2814730da2e56fdce3ba4a/analysis/

Se controlará a partir de ELISTARA 35.09 de final de mes
Mientras puede detectarse/eliminarse con ELIMD5.EXE indicando 8675ffb697ad944748e0e24ac1a962ce

saludos

ms, 18-8-2016