El ransomware “Surprise” infecta a las victimas por medio de Team Viewer


Otro ransomware incorporado en el proyecto EDA2



Una nueva familia de ransomware fue descubierta en las últimas semanas, que infecta a los ordenadores de los usuarios a través de las instalaciones de TeamViewer que encripta todos los datos, añadiendo la extensión "Surprise" a todos los archivos.


Los primeros signos de esta nueva infección ransomware fueron vistos en los foros de Bleeping Computer, lugar común en estos días en que las víctimas del ransomware convergen para pedir ayuda.

En un primer momento, los usuarios se sorprendieron al encontrar sus archivos bloqueados y de difícil acceso, con tres nuevos archivos añadidos en sus escritorios. Siendo estás las notas de rescate, informándoles al usuario de que sus archivos han sido cifrados, y para recuperarlos, las víctimas debe ponerse en contacto con el creador del ransomware a través de dos direcciones de correo electrónico en [email protected] y [email protected]

El ladrón está pidiendo 0,5 Bitcoin (~ $ 200), pero, dependiendo del contenido de los archivos cifrados del usuario, el rescate muy fácilmente podría llegar a 25 Bitcoin (~ $ 10.000) si fuera necesario, según el delincuente.


El Ransomware “Surprise” no tiene nada de sorprendente


Técnicamente, el ransomware no tiene nada de especial comparado a otras familias de cripto-ransomware que recientemente han afectado a Internet. El llamado ransomware Surprise utiliza un algoritmo AES-256 para cifrar los archivos, y luego usa RSA-2048 para asegurar que las claves de cifrado de cada archivo tengan una llave maestra que se encuentra en el servidor C & C.

El ransomware va dirigido a 474 extensiones de archivo diferentes y utiliza archivos por lotes para eliminar las instantáneas del disco duro, haciendo que el proceso de auto-recuperación sea imposible, a menos que el usuario almacena los mismos archivos en una unidad de copia de seguridad externa.

Lawrence Abrams, Administrador de contenidos de Bleeping Computer, también se dio cuenta de que el ransomware era otro clon del ransomware de código abierto EDA2.

EDA2 comenzó como un proyecto educativo, pero después fue subido a GitHub, provocando que el uso de este por delincuentes sea vulnerable por medio de una puerta trasera incluido.

Utku Sen, autor de EDA2, utilizaba la puerta trasera cuando podía , ayudando a las víctimas del ransomware obtener sus archivos de nuevo de forma gratuita, pero en esta ocasión, los servidores de C & C de Surprise estuvieron fuera de línea algunas semanas, originando que la puerta trasera resulte ser inútil. La razón puede ser que el creador del ransomware no ha recibió suficientes pagos para que valga la pena mantener los servidores en línea.

Esto significa que las versiones actuales del ransomware no serán capaces de guardar su clave RSA a los servidores C & C, resultando además que las víctimas que quieran pagar por el secuestro de sus archivos no puedan recuperar sus archivos tampoco.

Las instalaciones de TeamViewer vulnerado ejecutaban el ransomware

Pero este no era el detalle más interesante acerca de lo que parecía ser otra variante ransomware ordinaria. A medida que más usuarios se infectaron, apareció un patrón.

Parecía que todas las infecciones se produjeron en los ordenadores que habían instalado TeamViewer. TeamViewer es una aplicación para Windows que se puede utilizar para establecer una conexión entre dos computadoras y permitir que una persona pueda controlar la PC del otro.

Se usa comúnmente en los centros de soporte técnico, TeamViewer es una aplicación muy conocida que tiene muchos seguidores entre los usuarios expertos en tecnología.

Como las víctimas del ransomware Surprise se dieron cuenta de que todos ellos tenían instalado TeamViewer, se fueron a buscar los registros de TeamViewer, y todos descubrieron que alguien accedía a su ordenador a través de TeamViewer, descargaba el archivo suprise.exe (carga útil del ransomware), para luego ejecutarlo, cifrando los archivos.


Nadie sabe cómo el ladrón irrumpió en la instalación de TeamViewer

Actualmente, no hay detalles sobre cómo pudo acceder a estas instalaciones de TeamViewer, pero hay dos explicaciones posibles. Uno de ellos es la presencia de un error de día cero en TeamViewer que el delincuente utiliza para abrir las conexiones por la fuerza para poder descargar y ejecutar su ransomware.

Este escenario es un poco exagerado, principalmente debido a los errores de día cero requieren mucha habilidad y conocimientos técnicos para descubrirlos. Alguien que fuera tan tonto como para utilizar una familia de ransomware con un backdoor incluido ciertamente no tiene las habilidades para descubrir vulnerabilidades de cero días.

La segunda explicación es que el atacante escanee el Internet para instalaciones de TeamViewer accesibles y luego use ataques de fuerza bruta para entrar, utilizando cadenas de contraseñas de uso común.

Softpedia ha contactado con el equipo de TeamViewer para más detalles y que dé su opinión sobre la forma en que el atacante podría haber utilizado su aplicación para infectar a los usuarios.

ACTUALIZACIÓN: Al final del artículo, debajo de la foto, hemos añadido al informe completo de TeamViewer sobre este incindente.


Fuente: Softpedia