El ransomware es, probablemente, el tipo de malware más peligroso de los últimos años. Cuando este preocupante software malicioso infecta a los usuarios comienza a cifrar todos sus datos personales en el disco duro con una clave privada, la cual se envía a un servidor controlado por un pirata informático para, posteriormente, pedir el pago de un rescate a cambio de la clave con la recuperar los archivos, clave que, en muchas ocasiones ni siquiera termina de llegar, aunque se realice el pago, perdiendo así tanto el dinero como los archivos.
El número de variantes de ransomware es cada vez preocupantemente mayor. PadCrypt es un nuevo ransomware descubierto y registrado a lo largo de este fin de semana. Este ransomware se basa en el temido CryptoWall y, a grandes rasgos, funciona igual que cualquier otra herramienta maliciosa similar. Por el momento no está clara su forma de distribución, aunque, según parece, utiliza el correo electrónico para distribuir un archivo PDF malicioso que, al ejecutarlo, instala el ransomware en el equipo y lo ejecuta para empezar el cifrado de todos los datos y el borrado seguro de los datos originales para evitar su recuperación.
A diferencia de otros ransomware similares, PadCrypt ofrece a sus usuarios dos características no vistas hasta ahora en este tipo de malware. La primera de ellas es una herramienta de desinstalación llamada “unistl.exe”. Este fichero, por desgracia, no revierte los cambios, sino que simplemente elimina del ordenador todo el rastro del ransomware original, manteniendo los datos aún cifrados y, además, sin posibilidad de recuperarlos ya que también se elimina del sistema la herramienta que nos permite realizar el pago para recuperar los datos. No se sabe con certeza el por qué de este desinstalador, aunque los expertos de seguridad aseguran que se ha generado porque los piratas informáticos han utilizado alguna plantilla para el código que, al compilarlo, ha llamado a una función para la creación de este fichero.
La segunda de las características únicas de PadCrypt es un chat de soporte técnico en directo. Desde él, las víctimas pueden ponerse en contacto con los piratas informáticos de manera que estos puedan ayudarles a realizar el pago y recuperar los archivos.
Los datos de PadCrypt son irrecuperables, aunque se pague el rescate
Tal como aseguran los expertos de seguridad, el servidor de comando y control (C&C) de PadCrypt está caído, por lo que al abrir la herramienta de chat el programa nos devolverá un error y no podremos hablar directamente con los piratas informáticos. Por desgracia, esto no es lo peor. Al estar el servidor de control caído, aunque las víctimas paguen por el rescate de los datos, la clave de cifrado nunca llegará al ordenador, perdiendo también el dinero que hemos pagado y quedando todos nuestros datos cifrados, irrecuperables.
Dos empresas de seguridad (abuse.ch y Bleeping Computer) están trabajando en poder detectar cualquier debilidad en este ransomware que permita a los usuarios recuperar los datos cifrados sin tener que pagar, sin embargo, a día de hoy no existe ninguna, por lo que lo único que recomendamos es no pagar el supuesto rescate, evitando así perder también el dinero del mismo.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad