Nuevo ransomware Defray que comienza a distribuirse en Internet

agosto 29, 2017
Los investigadores observaron una nueva, aunque pequeña y selectiva campaña de ransomware a principios de este mes dirigida tanto a la educación como a las verticales de atención médica. El ransomware, llamado Defray, viene escondido en adjuntos de documento de Microsoft Word manipulados, enviados por correo electrónico

Los investigadores observaron una nueva, aunque pequeña y selectiva campaña de ransomware a principios de este mes dirigida tanto a la educación como a las verticales de atención médica. El ransomware, llamado Defray, viene escondido en adjuntos de documento de Microsoft Word manipulados, enviados por correo electrónico. 

Los investigadores con Proofpoint , que vio dos ataques que cayeron el ransomware - uno el 15 de agosto, uno el 22 de agosto, dicen que aunque ocean poco común, el malware no puede ser destinado para los ataques a gran escala. 

Los investigadores tomaron el nombre del malware del nombre de su nombre de dominio del servidor de control y control: defrayable-postings [.] 000webhostapp [.] Com 

En una campaña el documento de Word pretendía venir de un clinic del Reino Unido, el executive de gestión de la información y la tecnología. En el otro, el Word doc se consideraba un acuario con sede en el Reino Unido y con ubicaciones internacionales, probablemente con SEA LIFE , un acuario con ubicaciones en Birmingham, Brighton y Manchester, con ubicaciones adicionales en los Estados Unidos, Australia y China. 

En ambas situaciones, el malware apareció en un ejecutable incrustado, un objeto de shell de empaquetador OLE. Si un usuario hace doble clic, el ransomware, disfrazado como taskmgr.exe o explorer.exe, se elimina e instala. 

El atacante pide $ 5.000 en notas de rescate que se cayeron en la máquina de la víctima, pero como señalan los investigadores, se incluyen varias direcciones de correo electrónico, presumiblemente del cibercriminal Igor Glushkov, para que las víctimas puedan "negociar un rescate más pequeño o hacer preguntas". 

Los investigadores dijeron que no entraron en los detalles de la rutina de cifrado, pero notaron que encripta una lista de tipos de archivos codificados, pero no cambia los nombres de las extensiones de archivo. En cuanto a, dicen los investigadores, es el hecho de que el ransomware puede ser bastante entrometido después de sus archivos cifrados terminados. En Windows 7 Defray mantendrá un registro de los programas en ejecución, como el administrador de tareas o cualquier navegador abierto, y matarlos con una GUI. Los investigadores dijeron que vieron el ransomware desactivar la recuperación de inicio y eliminar cualquier copia de sombra de volumen, algo que podría dibujar la ira de los administradores también. 

Debido a que sólo se identificaron dos ataques específicos, los investigadores afirman que el ransomware no puede estar a la venta y en su lugar podría ser utilizado en forma privada, ya ocean como una entidad con licencia o como un servicio. Por esta razón, es menos likely que Defray se propague a chairman escala, aunque podría seguir utilizándose en ataques limitados y específicos, sugieren los investigadores. 

Los investigadores de Black Hat el mes pasado debutaron un controlador y un sistema de archivos adicionales de Windows que podrían ayudar a los usuarios a frustrar los ataques de ransomware como Defray. La herramienta, ShieldFS , ideada por investigadores italianos, detectó más de una docena de variedades de ransomware el 97 por ciento del tiempo. Aunque aún no está disponible para el público en general, ShieldFS bloquea el malware cuando se detecta. Una característica separada mientras tanto permite que los archivos originales almacenados en una impulsión dura sean preservados y recuperados más adelante.


Post a Comment

No hay comentarios

Suscribirse a: Enviar comentarios ( Atom )
Con la tecnología de Blogger.