Inicio de zonavirus, antivirus
SATINFO

Nuevo ransomware "asequible"se difunde rápidamente en China

msc hotline sat
miércoles, 05 de diciembre de 2018

Un nuevo y característico ransomware se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento.



¿Por qué es diferente al resto de ransomwares vistos?



Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.



¿Cómo funciona el ransomware?



Propagación:



Según los investigadores de Velvet Security, los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.



El software modificado fue diseñado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de él.



Evasión de antivirus:



Para evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.



Rescate:



Una vez cifrado, el ransomware crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.



Robo de información y credenciales:



Una vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.



Además, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.

¿Existen soluciones contra este malware?



Los investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.



Ruta de la clave de cifrado:

% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg



Con está información, el equipo de seguridad de Velvet ha lanzado una herramienta gratuita de descifrado de este ransomware que puede desbloquear fácilmente los archivos cifrados:

https://www.huorong.cn/download/tools/HRDecrypter.exe











Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/12/nuevo-ransomware-se-difunde-rapidamente-en-china.html





saludos



ms, 5-12-2018

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2018 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto