Vacuna preventiva para CryptoWall 4.0 y otros ransomwares
Recientemente ha aparecido una nueva variante de CryptoWall, la 4.0, uno de los ransomwares más conocidos que infecta máquinas Windows, cifra los archivos y exige a sus víctimas un pago mediante cripto-monedas para desbloquear sus documentos. Se cree que esta variante ha sido desarrollada por hackers rusos y quizás el cambio más significativo de esta nueva versión es que ahora incluso cifra los nombres de archivo (por ej. 27p9k967z.x1nep o 9242on6c.6la9) lo que hace aún más difícil recuperar la información.
A parte de eso, y de nuevos mensajes de bienvenida como el de la imagen de arriba, continua usando RC4 para comunicarse con los servidores C&C, sigue asignando un hash MD5 para cada "usuario", se inyecta en Explorer.exe, desactiva la restauración del sistema, borra las shadow volumen copies y usa BCDedit para desactivar la reparación de inicio de Windows; una auténtica joya...
Pero lo curioso es que la firma de antivirus rumana BitDefender anunció el lunes que ha desarrollado una "vacuna" que puede evitar que un usuario se infecte con este malware, una vacuna que simplemente simula que se está utilizando un teclado configurado para el idioma ruso, pues parece que el malware realiza tal comprobación antes de proceder a la infección/cifrado de archivos. Al menos eso es lo que observaron en las infecciones en los EE.UU.; en muchos países europeos occidentales como Francia, Italia, Alemania y España; y en la India y China.
Evidentemente la herramienta, que se puede descargar de forma gratuita desde su página, es sólo preventiva. Es decir, no deshace el daño si el malware ya ha infectado a una máquina, y sólo se aplica a la última versión 4 de Cryptowall.
Aquí se puede ver la herramienta actualizada para otras versiones de ransomware.
Fuentes:
A parte de eso, y de nuevos mensajes de bienvenida como el de la imagen de arriba, continua usando RC4 para comunicarse con los servidores C&C, sigue asignando un hash MD5 para cada "usuario", se inyecta en Explorer.exe, desactiva la restauración del sistema, borra las shadow volumen copies y usa BCDedit para desactivar la reparación de inicio de Windows; una auténtica joya...
Pero lo curioso es que la firma de antivirus rumana BitDefender anunció el lunes que ha desarrollado una "vacuna" que puede evitar que un usuario se infecte con este malware, una vacuna que simplemente simula que se está utilizando un teclado configurado para el idioma ruso, pues parece que el malware realiza tal comprobación antes de proceder a la infección/cifrado de archivos. Al menos eso es lo que observaron en las infecciones en los EE.UU.; en muchos países europeos occidentales como Francia, Italia, Alemania y España; y en la India y China.
Evidentemente la herramienta, que se puede descargar de forma gratuita desde su página, es sólo preventiva. Es decir, no deshace el daño si el malware ya ha infectado a una máquina, y sólo se aplica a la última versión 4 de Cryptowall.
Aquí se puede ver la herramienta actualizada para otras versiones de ransomware.
Fuentes:
- Hackplayers
- Bitdefender Offers Free CryptoWall Vaccine
- This free fix will stop Cryptowall 4 from holding your PC hostage
- CryptoWall 4.0 released with new Features such as Encrypted File Names
- Cryptowall 4.0: Update makes world's worst ransomware worse still
- Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect
estoy probando el anti-rasomware de malbarebytes a ver como funciona contra locky
ResponderBorrar