Ransom32, el ransomware escrito en JavaScript que afecta a Windows, Mac y Linux

Share this…

En 2014 se empezaron a ver las primeras muestras de ransomware, un tipo de software malicioso que secuestra los datos de los usuarios, los cifra y pide el pago de un “rescate” a cambio de liberarlos. 2015 ha sido un año donde el ransomware ha crecido considerablemente tanto en actividad como en peligrosidad y, 2016, tiene pinta de seguir los pasos del año pasado, es decir, más variedad de ransomware cada vez más complejo y peligroso.

Por lo general, los principales objetivos de los piratas informáticos son los usuarios de Windows, ya que este es el sistema operativo mayoritario. Sin embargo, en los últimos años ha ganado un especial protagonismo el desarrollo de software multiplataforma gracias al auge de los lenguajes de programación modernos basados en Web. Por desgracia, los piratas informáticos son conscientes de ellos, por lo que buscan, por todos medios posibles, llegar a infectar al mayor número de usuarios posibles.

Ransom32 hace uso de este concepto. Este nuevo ransomware ha sido escrito en JavaScript y utiliza el entorno de ejecución Node.js para llegar a tomar el control de los sistemas infectados y empezar a cifrar los datos de los usuarios.

Ransom32 es un ransomware que, a grandes rasgos, es muy similar a Cryptolocker. Este cuando infecta a los usuarios muestra un mensaje buscando el pago del rescate, en Bitcoins, igual que cualquier otro ransomware, pero su principal característica es que afecta por igual tanto a Windows como a Mac OS X y Linux. Además, el concepto de ransomware escrito en JavaScript es mucho más complicado de detectar que el ransomware binario, siendo a día de hoy, pasando totalmente inadvertido por los principales antivirus del mercado.

Este malware utiliza un cifrado AES de 128 bits donde se utiliza una nueva clave de cifrado para cada archivo, complicando notablemente el descifrado no autorizado.

Ransom32's ransom message

El ransomware Ransom32 ya se está comercializando, por lo que su actividad crecerá preocupantemente

Este malware se está comercializando en la Deep Web y los piratas informáticos piden un 25% del dinero del “rescate” a modo de comisión. Sin embargo, este malware no es perfecto. Lo primero que debe hacernos sospechar de que se trata de algo extraño es el tamaño del script malicioso, 22 MB, así como el simple hecho de descargar una serie de archivos adicionales necesarios para llevar a cabo la infección.

También debemos tener en cuenta que el malware no se ejecuta él solo en el sistema (por ejemplo, visitando una web), sino que los piratas informáticos deben engañar al usuario para descargar un archivo autoinstalable (en rar) y encargarse de que el propio usuario ejecuta el archivo. Una vez que este se ejecuta, el malware establece una conexión con el servidor C&C, a través de la red Tor, y es ya cuando el malware empieza a cifrar los archivos.

Como siempre, la mejor forma de protegerse es mediante copias de seguridad, especialmente teniendo en cuenta el tiempo que están tardando las firmas antivirus en añadir este malware a sus bases de datos. También puede ser útil un sistema anti-cifrado como el de Bitdefender, que nos ayudará a saber si algo está intentando hacer cambios indeseados en nuestros directorios.

Fuente:https://www.redeszone.net/