NUEVO RANSOMWARE VCRYPT USA 7zip PARA CREAR ARCHIVOS CON CONTRASEÑA
Recientemente se ha detectado un nuevo ransomware denominado VCrypt. Se ha identificado que ataca principalmente a víctimas francesas y que se aprovecha de comandos de 7zip para crear archivos protegidos con contraseña.
SERVICIOS AFECTADOS:
• Sistema operativo Windows.
DETALLES TÉCNICOS:
Cuando se ejecuta el ransomware en la computadora de la víctima, primero inicia Internet Explorer, en esta aplicación se muestra una nota de rescate llamada help.html, la cual se encuentra escrita en francés. En ella, se le sugiere a la víctima acceder al enlace de la nota para poder recuperar sus archivos. En paralelo se elimina los archivos de las carpetas, luego crea una carpeta la cual posee la extensión vcrypt.
Después de analizar una muestra del ransomware se determinó que este no encripta ningún archivo. Lo que hace es configurarse para ejecutarse automáticamente y extraer el programa 7za.exe en la carpeta %Temp%, el cual permite al atacante ejecutar comandos de 7zip.
Luego el ransomware ejecuta comandos que le permiten crear carpetas de Windows protegidas con contraseña. Todos los archivos creados poseen la misma contraseña. De momento no se ha identificado cual es el vector de infección de este ransomware.
Indicadores de Compromiso (IoC’s)
Hash
MD5: d32ff14c37b0b7e6c554ce3de5a85454
SHA256: e9056b5596854e3473033e3b28577c83a70f1b5be20e4b1cf529688ad7591b70
This image has an empty alt attribute; its file name is Recomendacion.jpg
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.
** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.