Ransom32, nueva variante de 'ransomware' multiplataforma
MacOS X y Linux podrían, teóricamente, verse afectados por este "ransomware" debido a que está empaquetado como una aplicación NW.js. Además, Ransom32 funciona como un servicio configurable a gusto del delincuente, según ESET.
- En 2015 se duplicó el volumen de ataques de ransomware a empresas
- Muchas empresas acaban pagando para librarse del ransomware
- Nueva variante de ransomware que ataca a servidores web Linux
- Finaliza la pesadilla de las víctimas del ransomware CoinVault
- Se disparan las infecciones del ransomware Cryptowall 3.0
2016 ha arrancado con la aparición de un nuevo ransomware, que ha sido bautizado como Ransom32 por los investigadores de Emsisoft, y que es detectado por las soluciones de seguridad de ESET como Win32/Filecoder.NFR. La principal peculiaridad de esta variante es que puede llegar a afectar a varios sistemas operativos, no solo a Windows.
Según Josep Albors, responsable del laboratorio de ESET, en teoría, MacOS X y Linux podrían verse afectados por este ransomware debido a que está empaquetado como una aplicación NW.js, que permite a los desarrolladores convertir aplicaciones web en aplicaciones de escritorio de forma sencilla y ejecutarlas en el sistema, en lugar de en una sandbox controlada dentro del navegador. “Aun no se han observado ejecutables maliciosos que contengan una variante de este malware para MacOS o Linux”, aclara Albors.
Otra peculiaridad de Ransom32 es que se puede configurar al gusto los delincuentes. Estos acceden a un panel de personalización del ransomware ubicado en una dirección dentro de la red Tor, donde pueden seleccionar varios parámetros que incluyen el rescate en bitcoins solicitado a las víctimas o el tipo de mensajes mostrará en pantalla. También se incluye en ese mismo panel información relacionada con la cantidad de sistemas infectados y la cantidad de dinero pagado por las víctimas.
Ramson 32 se presenta como un instalador del navegador Chrome que ocupa 45 MB, y que, al ejecutarse, comienza a cifrar los ficheros que encuentre en el sistema y que coincidan con las más de 100 extensiones que tiene programadas para reconocer. Finalizado el cifrado, el malware contacta con el servidor controlado por el delincuente y muestra el mensaje en pantalla solicitando la cantidad que se haya establecido.