Surprise, el ransomware que se instala a través de TeamViewer

Surprise, el ransomware que se instala a través de TeamViewer y añade ‘.surprise’ a la extension de los ficheros cifrados.

Surprise

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.

Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.

No se sabe cómo el pirata informático logró conectarse a los servidores TeamViewer para distribuir Surprise.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.

Emails spam adjuntando JavaScript

Microsoft ha publicado una advertencia de mensajes de spam contenían un archivo adjunto JavaScript.

Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.

Recientemente hemos observado que las campañas de spam están utilizando archivos adjuntos de JavaScript, aparte de los archivos de Office. El propósito del código es sencillo. Descarga y ejecuta otros programas maliciosos.

Descubren un ejemplar de ransomware camuflado en programas torrents

Se trata de Manamcrypt, también conocido como CryptoHost, que cifra documentos bajo contraseña, elimina los originales e impide que se ejecuten otros programas instalados en el sistema.

ransomware

Una de las técnicas más utilizadas por los ciberdelincuentes durante los últimos tiempo es el ransomware, un tipo de malware que es capaz de secuestrar los sistemas de sus víctimas, impedir el acceso a sus archivos y pedir un rescate a cambio de su liberación.

Son varias las muestras de ransomware que se han ido propagando por los dispositivos a un lado y otro del planeta y, en ocasiones, saliéndose con la suya. Y eso que el pago del rescate no siempre garantiza el restablecimiento de la situación a cómo estaba antes del ataque. Uno de los últimos descubrimientos que se ha hecho es el de Manamcrypt, también conocido como CryptoHost.

Según explican desde G DATA SecurityLabs, que es la compañía que ha descubierto Manamcrypt, se trata de un malware que además de cifrar documentos en un archivo comprimido bajo contraseña, llega a eliminar los originales e “impide la ejecución de ciertos programas instalados en las máquinas atacadas“.

Otra particularidad reside en su forma de propagación, “camuflado junto a algunas versiones de programas de descarga de torrents, algo inusual cuando hablamos de troyanos de tipo ransomware“, continúan aclarando desde G DATA.

Como siempre en estos casos, se recomienda a los usuarios extremar sus precauciones a la hora de navegar por Internet. Se desaconseja realizar descargas desde sitios desconocidos y fuentes no oficiales, así como pinchar en cualquier enlace por defecto o abrir archivos adjuntos si el remitente no es de fiar. También es conveniente realizar backups con regularidad, aplicar todas las actualizaciones de software y usar soluciones antimalware.

Fuente: Silicon Spain

Crypt0L0cker, nueva variante del crypto-ramsomware

Un nuevo ransomware con capacidades de cifrado de archivos para atacar sólo las máquinas de los países europeos, asiáticos y Australia

Crypt0L0cker

La pieza malware llega al ordenador de la víctima a través de correos electrónicos falsos que pretenden informar al destinatario de violaciónes de tráfico o un tipo diferente de notificación por parte del gobierno. Inmediatamente después de la instalación, Crypt0L0cker establece comunicación con el servidor de comando y control (C & C) y envía un identificador único del equipo comprometido.

Crypt0L0cker utiliza la lista blanca para el cifrado de archivos. Teniendo en cuenta que lo que más interesa a los ciberdelincuentes es que se realice el abono de la cantidad solicitada de dinero en Bitcoin para conseguir la clave de descifrado, estos han implementado una lista blanca de cuáles son los archivos que no se pueden cifrar, evitando de esta forma que el equipo posee la funcionalidad suficiente para que el usuario sienta la necesidad de realizar el pago.

De esta forma, ningún DLL, EXE, SYS, CMD, BAT o MSI será cifrado, encontrándose en el otro listado todos aquellos archivos multimedia o documentos Word y PDF.

Las copias del volumen (Shadow Copies) también se eliminan durante el proceso de cifrado, no dejando otra posibilidad más que recuperar los datos encriptados desde un archivo de copia de seguridad cuya integridad no haya sido afectada.

Cuando la encriptación se completa, Crypt0L0cker muestra la nota de rescate, que pide un pago de 2,2 bitcoin (450€) a cambio de la clave de descifrado. La notificación de rescate viene con instrucciones para hacer el pago. Los únicos equipos que se ven afectados son aquellos que ejecutan cualquier sistema operativo Windows.