Ransomware infecta a más de 100 mil equipos en China

05 Diciembre 2018
Informativo

Descubren un nuevo ransomware que se está propagando rápidamente en China y que en 4 días logró infectar a más de 100 mil computadores. El número aumenta continuamente cada hora. A diferencia de otros ransomware como el WannaCry y NotPetya, sólo se ha dirigido a usuarios chinos y no exige pagos de rescate en bitcoin, sino 110 yuanes (USD16) a través de WeChat Pay, la función de pago de la popular app de mensajería en China.

De acuerdo a Velvet Security, los atacantes agregaron código malicioso en el software de programación EasyLanguage, utilizado por un gran número de desarrolladores de aplicaciones. De esa manera, inyectaron código de ransomware en cada app y producto de software compilado a través de él, generando un ataque a toda la cadena logística.

El ransomware cifra todos los archivos en un sistema infectado, excepto aquellos con extensiones gif, exe y tmp. Para que no sea detectado por los antivirus, los ciberdelincuentes firmaron su código de malware con una firma digital confiable de Tencent Technologies.

Investigadores chinos de ciberseguridad descubrieron que el ransomware está mal programado y que los atacantes mintieron sobre el proceso de cifrado. La nota que exige el pago de rescate para recuperar los documentos, dice que todos los archivos de los usuarios se cifraron utilizando el algoritmo de cifrado DES, pero en realidad, lo hicieron utilizando un cifrado XOR menos seguro, que almacena una copia de la clave de descifrado localmente, en el sistema de la víctima (carpeta ubicada en: %user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg).

Velvet creó entonces una herramienta gratuita de descifrado de ransomware, que desbloquea fácilmente los archivos cifrados, sin necesidad de que paguen ningún rescate.


Tags: #ransomware #china #wannacry #notpetya #wechat


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.