El ransomware Philadelphia desarmado pocos días después de su aparición

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

El investigador de seguridad Fabian Wosar ha informado recientemente que ya tiene undesencriptador de ficheros que nos permitirá abrir todos los archivos cifrados por una nueva familia de ransomware.

Apareció hace unos días y se ha llamadoPhiladelphia, por el momento se desconoce el número de infecciones que ha provocado este código malicioso, aunque se espera que aún no se haya extendido demasiado, lo que sí se sabe es que el creador de este código resulta ser el mismo que desarrolló el conocido ransomware Stampado.

Wosar publicó previamente otro desencriptador libre para el mencionado Stampado, y dado que ambas familias están muy relacionadas entre si estando las dos codificadas en el lenguaje de encriptación AutoIT, el investigador ha sido capaz de descifrar el modo de funcionamiento del nuevo lanzamiento infeccioso en poco tiempo, antes de que el daño fuese a mayores.

Las noticias sobre la existencia de este pusieron en alerta a los expertos en seguridad el pasado miércoles, cuando un usuario apodado Arslan0708 registró una conversación entre un hacker conocido como SkrillGuide2015 y el creador de Philadelphia, The Rainmaker. Arslan0708 afirma que fue capaz de interceptar una conversación entre los dos, aunque no ha dado muchos detalles de la misma, pero sí que descubrió esta nueva amenaza. Al parecer The Rainmaker estaba describiendo la nueva versión de su ransomware que acaba de terminar llamada Philadelphia y la vendía por 400 dólares, algo llamativo debido a que anteriormente vendió Stampado a un precio mucho más bajo, 39 dólares.

Funcionamiento del ransomware Philadelphia

Su creador elogiaba las nuevas características de Philadelphia haciendo especial hincapié en su sistema de comunicaciones C & C utilizando servidores intermediarios a modo de puente que posteriormente informan a un servidor maestro, método usado ya por troyanos de acceso remoto como Orcus y Blackshades.

Pago de rescate por ransomware

Sin embargo el analista de malware, Lawrence Abrams, argumenta que este sistema tiene un problema fundamental, y es que si estos puentes no se almacenan en redes anónimas como TOR, lo más probable es que sean serán descubiertos con rapidez.

Por el momento se ha detectado que el Ministerio de Hacienda de Brasil ya ha sido infectado con Philadelphia, el cual utiliza nombres al azar muy largos para sus archivos cifrados y con la extensión “.locked”. Además hay que tener en cuenta que este ransomware pide 0,3 Bitcoins para el rescate, alrededor de 210 dólares, y elimina un número predeterminado de archivos si la víctima se va retrasando en el pago del rescate. Por ello es importante que los infectados se decidan rápidamente si quieren pagar el rescate o descargar desencriptador de Wosar, ya que corren el riesgo de perder buena parte de lainformación guardada en su equipo.

Fuente:http://www.adslzone.net

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone