12 nov. 2015

Vacuna preventiva para CryptoWall 4.0 y otros ransomwares

Recientemente ha aparecido una nueva variante de CryptoWall, la 4.0, uno de los ransomwares más conocidos que infecta máquinas Windows, cifra los archivos y exige a sus víctimas un pago mediante cripto-monedas para desbloquear sus documentos. Se cree que esta variante ha sido desarrollada por hackers rusos y quizás el cambio más significativo de esta nueva versión es que ahora incluso cifra los nombres de archivo (por ej. 27p9k967z.x1nep o 9242on6c.6la9) lo que hace aún más difícil recuperar la información.

A parte de eso, y de nuevos mensajes de bienvenida como el de la imagen de arriba, continua usando RC4 para comunicarse con los servidores C&C, sigue asignando un hash MD5 para cada "usuario", se inyecta en Explorer.exe, desactiva la restauración del sistema, borra las shadow volumen copies y usa BCDedit para desactivar la reparación de inicio de Windows; una auténtica joya...

Pero lo curioso es que la firma de antivirus rumana BitDefender anunció el lunes que ha desarrollado una "vacuna" que puede evitar que un usuario se infecte con este malware, una vacuna que simplemente simula que se está utilizando un teclado configurado para el idioma ruso, pues parece que el malware realiza tal comprobación antes de proceder a la infección/cifrado de archivos. Al menos eso es lo que observaron en las infecciones en los EE.UU.; en muchos países europeos occidentales como Francia, Italia, Alemania y España; y en la India y China.

Evidentemente la herramienta, que se puede descargar de forma gratuita desde su página, es sólo preventiva. Es decir, no deshace el daño si el malware ya ha infectado a una máquina, y sólo se aplica a la última versión 4 de Cryptowall.

Aquí se puede ver la herramienta actualizada para otras versiones de ransomware.

Fuentes:

1 comentario:

  1. estoy probando el anti-rasomware de malbarebytes a ver como funciona contra locky

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!