LOCKER MALWARE :copycat de Cryptolocker

Posted on Updated on

Cryptolocker viene un software copycat desagradable que contiene los archivos de la víctima al rescate – pero el cifrado del recién llegado es potencialmente frágil , se nos dice .

Inicio Seguridad IntelCrawler reclama un ” gran distribución ” de la nueva llamada de malware Locker comenzó a principios de este mes .

Locker, una vez ha infectado un PC, copias y encripta los documentos de la víctima , la adición de una extensión “. Perfecta ” , a continuación, elimina los datos originales. El troyano también coloca un archivo contact.txt en cada directorio que contiene los datos de contacto del autor de malware – por lo general un número de teléfono móvil de usar y tirar o una dirección de correo electrónico.

Las víctimas se les advierte que si acosan o amenazan el extorsionista , se eliminará la clave de descifrado para desbloquear los archivos , revelando la forma de pensar de los cabrones detrás de la estafa.

IntelCrawler contactó a un ladrón que aparece en el archivo de contactos , y me dijeron que alguien tendría que pagar hasta $ 150 a un número de tarjeta virtual Perfect Money o QIWI VISA para recibir la clave de descifrado necesario para restaurar la información en la maquina infectadas Locker.

Con el fin de descifrar , es necesario proporcionar un código de identificación escrito en el archivo ” contact.txt ” , así como el nombre de host del equipo comprometido.

” Parece ser que los hackers simplemente comparar la lista de direcciones IP infectadas de los usuarios , junto con sus nombres de host “, según IntelCrawler .

Locker es un esfuerzo rango de aficionados en comparación con la tripulación CryptoLocker , que dirige su estafa utilizando una red de servidores de comando y control y el uso de una combinación de AES 256 bits y 2048 bits RSA de cifrado para almacenar los datos de rescate ( la llave maestra que se celebra en los servidores de los Crims ‘ ) .

Pero a pesar de su diseño menos avanzado , Locker ya ha logrado atacar los ordenadores que funcionan con Windows en los EE.UU. , se nos dice – incluyendo Washington DC , Texas y Missouri – además de PCs en los Países Bajos , Turquía, Alemania y Rusia. Locker también , se nos dice , evita máquinas herramientas utilizadas por los investigadores de seguridad que se ejecutan infectante, sin duda, una táctica destinada a garantizar que el malware se mantiene por debajo del radar durante tanto tiempo como sea posible.

Los spreads de software desagradables en su mayoría por descargas no autorizadas de sitios web comprometidos . Los ejecutables disfrazados de archivos MP3 son otro vector de infección.

El malware Locker utiliza la biblioteca TurboPower LockBox , un conjunto de herramientas criptográficas para Delphi : concretamente, se utiliza AES -CTR para cifrar el contenido de archivos en los dispositivos infectados. Pero las deficiencias en la programación serán aparentemente hacen posible que los investigadores desarrollar llaves maestras capaces de descifrar los archivos en el kit comprometida. Los investigadores de IntelCrawler están trabajando en un antídoto universal.

“Hemos encontrado un método de descifrado y cadenas universales [ claves ] de descifrado en cualquier cliente infectado, ” Andrey Komarov , jefe ejecutivo de IntelCrawler , dijo a El Reg .

Komarov añadió que la detección del malware por los paquetes antivirus es baja, con sólo Avira capaz de detectar el patógeno a partir del jueves por la noche

 

Instituto Internacional de Seguridad Cibernética
International Institute of Cyber Security
http://www.iicybersecurity.com

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s