CryPy, un ransomware que utiliza una clave para cada archivo cifrado

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Se han visto muchas cosas con respecto a losransomware y algunas de ellas muy curiosas. Una de las últimas amenazas de este tipo detectadas, conocida con el nombre de CryPy, realiza el cifrado de la información que se encuentra en los equipos infectados (por el momento todo igual) pero utiliza una clave para cada uno de los archivos, lo que dificulta un poco las tareas para recuperar la información de forma gratuita.

Si la forma de cifrado es curiosa, la de distribución y control no lo es menos. Los propietarios de la amenaza se han ayudado de una vulnerabilidad existente en una tienda en línea que hace uso de una versión desactualizada de Magento para así guardar varias copias de esteransomware en la misma y utilizar la misma como servidor de control, permitiendo un ahorro en costes a los ciberdelincuentes.

Cada vez es más común que se utilicen servidores de otras personas para dar cobijo a la amenaza y el propio servidor de control, ya que es bastante común que los usuarios descuiden la seguridad de estos servicios y los dejen desprotegidos haciendo uso de versiones que posee fallos de seguridad. Este servidor improvisado no solo sirve para controlar las copias instaladas en los dispositivos Windows, sino que es capaz de dirigir de forma eficaz las campañas spam que se realizan para distribuir el ransomware, detectando que se utilizan sobre todo mensajes falsos de PayPal informando sobre problemas que no existen en la cuenta.

crypyransomware_10

CryPy está programado en Python

Aunque no era bastante común, cada vez posee mucha más presencia a la hora de desarrollar este tipo de amenaza. Los ciberdelincuentes se han valido en esta ocasión de Python para dar vida a su amenaza. Existen dos archivos, boot_common.py y encryptor.py que son los únicos que llegan al equipo del usuario. Una vez llega al equipo se ejecuta el primero para desactivar el Administrador de tareas o el registro de Windows, evitando que el usuario pueda resolver el problema de forma sencilla.

Pero lo que sin lugar a dudas a llamado la atención de esta amenaza es que hacen uso de una clave de cifrado para cada archivo, es vez de tener una común para todos los archivos de un mismo equipo.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone