ALERTAS | Noticias | 31 ENE 2013

Detectado un nuevo ransomware que encripta los datos de sus víctimas

Tags: Actualidad
Según un informe publicado por AVG News, a diferencia de otros troyanos empleados para hacer extorsión a los usuarios, el nuevo ransomware encripta los datos en las máquinas infectadas, haciendo que determinados archivos sean inaccesibles para los usuarios.
Hilda Gómez

Un informe publicado en AVG News se ha hecho eco de una nueva versión del conocido ransomware que secuestra PC haciéndose pasar por la policia, una variante que, en lugar de bloquear el equipo infectado, encripta imágenes, documentos y archivos ejecutables en un intento de impedir cualquier intento de eliminación. El ciberdelicuente no incapacita completamente las máquinas, que siguen funcionando en su mayor parte, aunque muchos datos se perderán y algunos programas no funcionarán. Según el informe, los archivos de sistema Windows escaparían de esta encriptación forzada.

Según el informe, después de su ejecución, el malware genera aleatoriamente ejecutables ctfmon.exe o svchost.exe e inyecta su propio código. El proceso del sistema de inyección ejecuta una copia en la carpeta %TEMP%, creando procesos ctfmon.exe o svchost.exe con el código inyectado.

En primer lugar, el malware genera un único ID del equipo, ID que luego utiliza para producir una clave de cifrado con funciones de cifrado de la API como “advapi32!CryptHashData” y “advapi32!CryptDeriveKey”. Ahora el malware envía peticiones con el ID del ordenador a su servidor de comando y control, cifrando sus comunicaciones en el servidor con la primera llave y permitiendo que el troyano pueda descifrarlos en los equipos infectados. A continuación, se crea una segunda clave utilizando "advapi!CryptGenKey", con la que el atacante podría descifrar los archivos cifrados una vez pagado el rescate.

AVG ha detectado el virus como "Trojan horse Generic31.LBT" y ha identificado su MD5 como "51B046256DB58B603A27EBA8DEE05479".

Noticias relacionadas:

- Reaparece el troyano GpCode que secuestra Windows y pide un rescate

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información