Nuevo cripto-ransomware "cuarentena" descarga archivos que roban información.



Los investigadores de Trend micro han encontrado y analizado un pedazo de un nuevo cripto-ransomware: CryptVault que cifra los archivos, haciéndolos ver como archivos en cuarentena por alguna solución antivirus, pidiendo rescate y finalmente descargando malware que roba información.



Llega a los equipos de destino después de que el usuario ha sido engañado para descargar y ejecutar un adjunto malicioso - un archivo de Javascript - que descargará cuatro archivos: el propio ransomware, SDelete (una herramienta MS Sysinternals que será utilizada para eliminar los archivos), GnuPG (herramienta de cifrado legítimo open source) y un archivo de biblioteca de GnuPG.

El ransomware utiliza GnuPG para crear un par de claves RSA-1024 públicas y privadas que será utilizada para cifrar y descifrar los archivos. Se dirige a los tipos de archivos más populares, sobre todo a documentos, imágenes y archivos de base de datos.

"Después del cifrado, el malware va a cambiar todas las extensiones de los archivo a la extensión * .vault asociadas a los iconos de candado. Cada archivo 'bloqueado' y cifrado mostrará una nota de rescate cuando se abre," explica el ingeniero Michael Marcos.



Una mayor y más detallada nota de rescate se muestra en el escritorio del sistema infectado. Teniendo en cuenta que la nota de rescate y el portal de soporte del ransomware están en ruso, esta campaña está obviamente dirigida a usuarios de habla rusa.

"El malware elimina archivos claves, secring.gpg, vaultkey.vlt y confclean.lst, utilizando SDelete, una herramienta de Microsoft Sysinternals. SDelete es capaz de sobrescribir los datos del disco de un archivo eliminado logrando que sea difícil o casi imposible de recuperar los archivos borrados ", afirma Marcos.

"Aunque esta no es la primera vez que estamos viendo a SDelete siendo utilizado en ataques criptográficos de tipo ransomware, parece que esta es la primera vez que el malware utiliza 16 pasadas de sobreescritura para asegurarse de que las herramientas de recuperación tengan un momento difícil intentando de reconstruir el archivo borrado ".

Al final, el ransomware también descarga y ejecuta Browser Password Dump, una herramienta hacking capaz de extraer las contraseñas almacenadas en un gran número de navegadores web populares, luego se enviarán los datos al servidor de comando y control de los atacantes.