Crysis, cifra unidades de red
Crysis es capaz de cifrar archivos en unidades fijas, móviles y de red. Usa fuertes algoritmos de cifrado y un sistema que lo hace difícil de romper en un tiempo razonable.
Al ser ejecutado, cifra todos los tipos de archivos, incluyendo aquellos sin extensión, dejando intactos solo los propios y los necesarios para la operación del sistema. El troyano recolecta el nombre de la computadora y varios archivos cifrados para enviarlos al servidor remoto controlado por el atacante. En algunas versiones de Windows también intenta ejecutarse con privilegios de administrador, extendiendo la lista de archivos a ser cifrados. Tras terminar con su tarea maliciosa, deja un archivo de texto llamado "Cómo descifrar tus archivos.txt" en la carpeta Desktop (Escritorio). En algunos casos, está acompañado de la imagen "DECRYPT.jpg", que muestra el mensaje de rescate como fondo de pantalla.
La información provista inicialmente está limitada a dos direcciones de correo de contacto de los extorsionadores. Tras enviarles el e-mail, la víctima recibe más instrucciones. Entre otras cosas, incluye el precio de la herramienta de descifrado, que oscila entre 400 y 900 euros. La víctima recibe la orden de comprar bitcoins y enviarlos a la billetera virtual de los operadores, especificada al final del mensaje.
Jigsaw, ofrece asistencia y chat al "cliente"
Un buen servicio al cliente es parte de un negocio exitoso. No debería ser sorpresa que incluso los creadores de ransomware intenten nuevas maneras de mejorar el proceso de pago. Así, en vez de utilizar un servicio en la Deep Web, Jigsaw se comunica con el usuario a través de un chat en vivo. Los atacantes tienen gente esperando para responder preguntas.
Existen algunos incentivos perversos en el trabajo de decidir centrarse en sus "clientes" (es decir, las víctimas) porque ahora las víctimas de este delito tienen una respuesta inmediata y humana cuando pierden sus archivos y esto puede predisponer a que paguen más rápido.
CryptXXX, cifra archivos y roba información
La versión más reciente del ransomware CryptXXX llegó con muchos cambios, entre los que destaca su módulo infostealer que puede robar contraseñas de diversas aplicaciones en la máquina infectada. Llamado StillerX, este módulo forma parte de CryptXXX a partir de versión 3.100, detectado por primera vez el 26 de mayo.
Este tipo de malware está diseñados para atacar las bases de datos internas de varios paquetes de software y extraer contraseñas que luego se envían a un servidor en línea. El módulo StillerX es capaz de robar datos de navegadores, gestores de descargas, clientes de correo electrónico, FTP software, IM aplicaciones, aplicaciones de poker, clientes de proxy, VPN, credenciales aplicaciones de de Microsoft.
Además de la habilidad de robar las contraseñas, CryptXXX también cambió su página de web de descifrado y ofrece nuevos gráficos más amigables para la víctima. Por último pero no menos importante, CryptXXX también es capaz de buscar unidades de red y cifrar los archivos que encuentra en esas particiones.
En abril, Kaspersky logró romper CryptXXX 1.x y 2.x pero CryptXXX. 3.100 es indescifrable.
Fuente: We Live Security | Softpedia |TrendMicro | ProofPoint
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!