Crypt0L0cker, nueva variante del crypto-ramsomware

Un nuevo ransomware con capacidades de cifrado de archivos para atacar sólo las máquinas de los países europeos, asiáticos y Australia

Crypt0L0cker

La pieza malware llega al ordenador de la víctima a través de correos electrónicos falsos que pretenden informar al destinatario de violaciónes de tráfico o un tipo diferente de notificación por parte del gobierno. Inmediatamente después de la instalación, Crypt0L0cker establece comunicación con el servidor de comando y control (C & C) y envía un identificador único del equipo comprometido.

Crypt0L0cker utiliza la lista blanca para el cifrado de archivos. Teniendo en cuenta que lo que más interesa a los ciberdelincuentes es que se realice el abono de la cantidad solicitada de dinero en Bitcoin para conseguir la clave de descifrado, estos han implementado una lista blanca de cuáles son los archivos que no se pueden cifrar, evitando de esta forma que el equipo posee la funcionalidad suficiente para que el usuario sienta la necesidad de realizar el pago.

De esta forma, ningún DLL, EXE, SYS, CMD, BAT o MSI será cifrado, encontrándose en el otro listado todos aquellos archivos multimedia o documentos Word y PDF.

Las copias del volumen (Shadow Copies) también se eliminan durante el proceso de cifrado, no dejando otra posibilidad más que recuperar los datos encriptados desde un archivo de copia de seguridad cuya integridad no haya sido afectada.

Cuando la encriptación se completa, Crypt0L0cker muestra la nota de rescate, que pide un pago de 2,2 bitcoin (450€) a cambio de la clave de descifrado. La notificación de rescate viene con instrucciones para hacer el pago. Los únicos equipos que se ven afectados son aquellos que ejecutan cualquier sistema operativo Windows.