El ransomware Qwerty se vale de GnuPG para cifrar los archivos
Nuevo ransomware Qwerty
El nombre seguro que os resulta similar. Existe un keylogger filtrado de la propia NSA que recibió este nombre. Sin embargo, este caso es diferente. Hablamos de un ransomware que utiliza la librería GnuPG para llevar a cabo el cifrado de la información de los archivos afectados. Qwerty es uno de los ransomware que más actividad está demostrando en las últimas semanas. Sí, la extensión que se añade a los archivos afectados corresponde con el nombre de la amenaza, tal y como sucede con la mayoría de este tipo.
La particularidad de esta amenaza es que se vale de un software legítimo para llevar a cabo el cifrado de la información. Sí, se trata de la aplicación GnuPG. ¿La única? La realidad es que no. Otras amenazas han hecho uso de esta librería para llevar a cabo esta tarea, ahorrando tiempo de desarrollo. Estamos hablando de VaultCrypt y KeyBTC. Sobre todo, la primera tuvo presencia a nivel de infecciones durante al menos un año. La segunda podría decirse que pasó por Internet sin pena ni gloria, con un número bastante discreto de infecciones. A pesar de todo, esto es algo para nada común, ya que las amenazas acostumbran a utilizar sus propios métodos de cifrados de archivos.
Vía de difusión de la amenaza
Expertos en seguridad han conseguido averiguar información relacionada con esta amenaza. El aspecto más importante es determinar la vía de difusión. A diferencia de otras que utilizan páginas web o correos electrónicos para distribuirse, el método de difusión de Qwerty es manual. Los ciberdelincuentes realizan un escaneo de los puertos abiertos en el equipo y la existencia de servicios de escritorio remoto activos y con una seguridad deficiente. A través de este se produce la llegada de la amenaza al equipo.
Ni que decir tiene que los propietarios del ransomware se han centrado en los dispositivos con sistema operativo Windows
Los detalles del ransomware Qwerty
Vamos a detallar algunos aspectos relacionados con la amenaza que nos ocupa. En lo que se refiere a archivos desplegados en el sistema, indicar que en los equipos afectados encontraremos los siguientes:
GnuPG gpg.exe
gnuwin32 shred.exe
find.exe
Mientras el primer ejecutable hace referencia a la librería de cifrado, el segundo hace referencia a una librería que se encarga de ejecutar algunos archivos JavaScript. El tercero es llamado por uno de los archivos JavaScript ejecutados anteriormente. GnuPG gpg.exe es el punto de ejecución de la amenaza, ejecutando el archivo Key.bat que llevará a cabo una serie de operaciones.
Búsqueda en función del nombre
Mientras algunas amenazas se centran, sobre todo, en cifrar archivos que se encuentren en determinadas ubicaciones, Qwerty analiza el nombre para posteriormente saber si debe aplicar o no el cifrado.
Los archivos que pueden verse afectados son aquellos que no contengan estas cadenas de caracteres:
Recycle
temp
Temp
TEMP
windows
Windows
WINDOWS
Program Files
PROGRAM FILES
Program
Data
gnupg
.qwerty
README_DECRYPT
.txt
.exe
.dll
Una vez realizado el proceso de cifrado, se genera un archivo de texto informativo. El usuario encontrará la dirección de correo cryz1@protonmail.com. Será la vía utilizada para contactar con el propietario de la amenaza y recibir instrucciones.
Ver información original al respecto en Fuente:
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.