Un nuevo y característico ransomware se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento.
¿Por qué es diferente al resto de ransomwares vistos?
Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.
¿Cómo funciona el ransomware?
Propagación:
Según los investigadores de Velvet Security, los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.
El software modificado fue diseñado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de él.
Evasión de antivirus:
Para evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.
Rescate:
Una vez cifrado, el ransomware crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.
Robo de información y credenciales:
Una vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.
Además, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.
¿Existen soluciones contra este malware?
Los investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.
Ruta de la clave de cifrado:
% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg
Con está información, el equipo de seguridad de Velvet ha lanzado una herramienta gratuita de descifrado de este ransomware que puede desbloquear fácilmente los archivos cifrados.
Más información:
Información oficial:
https://www.huorong.cn/info/1543934825174.html
Por Daniel Púa
Dejar un comentario