El investigador de seguridad Fabian Wosar ha informado recientemente que ya tiene undesencriptador de ficheros que nos permitirá abrir todos los archivos cifrados por una nueva familia de ransomware.
Apareció hace unos días y se ha llamadoPhiladelphia, por el momento se desconoce el número de infecciones que ha provocado este código malicioso, aunque se espera que aún no se haya extendido demasiado, lo que sí se sabe es que el creador de este código resulta ser el mismo que desarrolló el conocido ransomware Stampado.
Wosar publicó previamente otro desencriptador libre para el mencionado Stampado, y dado que ambas familias están muy relacionadas entre si estando las dos codificadas en el lenguaje de encriptación AutoIT, el investigador ha sido capaz de descifrar el modo de funcionamiento del nuevo lanzamiento infeccioso en poco tiempo, antes de que el daño fuese a mayores.
Las noticias sobre la existencia de este pusieron en alerta a los expertos en seguridad el pasado miércoles, cuando un usuario apodado Arslan0708 registró una conversación entre un hacker conocido como SkrillGuide2015 y el creador de Philadelphia, The Rainmaker. Arslan0708 afirma que fue capaz de interceptar una conversación entre los dos, aunque no ha dado muchos detalles de la misma, pero sí que descubrió esta nueva amenaza. Al parecer The Rainmaker estaba describiendo la nueva versión de su ransomware que acaba de terminar llamada Philadelphia y la vendía por 400 dólares, algo llamativo debido a que anteriormente vendió Stampado a un precio mucho más bajo, 39 dólares.
Funcionamiento del ransomware Philadelphia
Su creador elogiaba las nuevas características de Philadelphia haciendo especial hincapié en su sistema de comunicaciones C & C utilizando servidores intermediarios a modo de puente que posteriormente informan a un servidor maestro, método usado ya por troyanos de acceso remoto como Orcus y Blackshades.
Sin embargo el analista de malware, Lawrence Abrams, argumenta que este sistema tiene un problema fundamental, y es que si estos puentes no se almacenan en redes anónimas como TOR, lo más probable es que sean serán descubiertos con rapidez.
Por el momento se ha detectado que el Ministerio de Hacienda de Brasil ya ha sido infectado con Philadelphia, el cual utiliza nombres al azar muy largos para sus archivos cifrados y con la extensión “.locked”. Además hay que tener en cuenta que este ransomware pide 0,3 Bitcoins para el rescate, alrededor de 210 dólares, y elimina un número predeterminado de archivos si la víctima se va retrasando en el pago del rescate. Por ello es importante que los infectados se decidan rápidamente si quieren pagar el rescate o descargar desencriptador de Wosar, ya que corren el riesgo de perder buena parte de lainformación guardada en su equipo.
Fuente:https://www.adslzone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad