El ransomware DetoxCrypto envía capturas de pantalla a los Operadores


Una nueva familia ransomware fue observado recientemente que distribuye dos variantes diferentes, incluyendo uno que toma capturas de pantalla de la computadora de las víctimas y los envía a los servidores del operador.


Apodado DetoxCrypto, el nuevo malware parece ser parte de un sistema de afiliados o podría ser vendido a través de la dark web, dado que diferentes variantes ya han surgido, cada uno usando una dirección de correo electrónico distinto y con tema diferente y diferentes características. Una de las variantes observadas actúa como un ransomware genérico (a excepción de la función para subir captura de pantalla), mientras que las otras se hacen pasar como una aplicación de PokemonGo.

Todas las variantes del malware observado utilizan el cifrado AES y puede detener los servicios de MySQL y MSSQL en las máquinas infectadas, según informó Bleeping Computer. Por otra parte, estas variantes muestran una pantalla de bloqueo como nota de rescate, a la vez que se reproduce un archivo de audio, mientras que la pantalla de bloqueo se está mostrando. El ransomware también instruye a las víctimas a ponerse en contacto con los operadores a través de una dirección de correo electrónico incluido en la pantalla de bloqueo para recuperar el acceso a sus archivos.

Lo que los investigadores no han revelado a partir de ahora es cómo se distribuye el ransomware, pero dicen que es mediante un único ejecutable que es utilizado por todas las variantes. Este archivo contiene otros ejecutables y componentes embebidos dentro. Cuando se inicia, el ejecutable principal extrae un archivo llamado MicrosoftHost.exe, un archivo de audio, un papel tapiz de fondo, y un ejecutable nombrado de manera diferente para cada variante.

MicrosoftHost.exe se utiliza con fines de cifrado y para detener los procesos de servidores de bases de datos en el ordenador de la víctima. El malware no anexa una extensión de los archivos cifrados, pero que va cambiando el fondo del escritorio de Windows a la imagen incrustada en el archivo ejecutable principal.

El segundo ejecutable dejado caer por el programa malicioso puede mostrar una pantalla de bloqueo, reproducir un archivo de audio, y puede descifrar los archivos comprometida si se proporciona la contraseña correcta. Este es el archivo que se cambia de forma dinámica entre las variantes del ransomware, según lo observado por los investigadores dos casos de estos casos son hasta ahora, Calipso.exe y Pokemon.exe.

La variante Calipso extrae numerosos archivos en el directorio C: \ Users carpeta Calipso \ [account] \, después de lo cual procede a cifrar los archivos de la víctima. Una vez que el proceso de cifrado se ha completado, el programa malicioso muestra una pantalla de bloqueo para instruir a la víctima a ponerse en contacto con el operador a través de motox2016 (a) mail2tor.com dirección de correo electrónico para recibir las instrucciones de pago.

Una característica única de esta variante ransomware es el hecho de que toma una captura de pantalla de la pantalla activa y lo carga en la pantalla de bloqueo cuando se ejecuta. Los investigadores creen que los operadores del ransomware podrían intentar aumentar el precio del rescate si la pantalla contiene un contenido digno de chantaje.

La variante temática de Pokemon, se distribuye como un archivo llamado Pokemongo.exe, extrae los archivos que necesita para funcionar en el directorio C: \ Users \ [account] carpeta \ Descargas \ Pokemon. A continuación, el malware podría cifrar archivos de la víctima, entonces mostraría una pantalla de bloqueo titulado "Somos todos Pokémons."