Un nuevo squared , que lo nombró Ransom32 .
Funciona en forma de "ransomware como Servicio '(RAAS) de un servidor oculto en la red Tor. Allí, los ciberdelincuentes pueden elegir lo que el malware infecte la víctima, el número de bitcoins se le pedirá como rescate y qué mensajes amenazantes que se mostrará en la pantalla. También pueden consultar estadísticas de cuántos s estaban infectados y cuántos de ellos realmente pagado.
Una vez Ransom32 se instala en el sistema y se ejecuta, será descomprimido todos sus archivos maliciosos en la carpeta de archivos temporales y asegurarse de que está ejecutado en cada arranque . El archivo malicioso, chrome.exe, se disfraza como el popular navegador web Chrome.
Sin embargo, es posible ver en sus propiedades que no está firmado digitalmente, y que la información sobre la versión y el nombre del producto ha sido borrado.
Matías Porolli, analista de malware de ESET Latinoamérica, explica cómo funciona Ransom32:
Las extensiones específicas para el cifrado son más de cien, y entre ellos son los más frecuentes utilizados para los archivos de texto e imágenes como TXT, DOC, webp, GIF, AVI, MOV, y MP4.
Otro detalle digno de mención que diferencia Ransom32 de otras amenazas similares es que su tamaño es de alrededor de 45 MB, lo cual es extraño como ransomware es generalmente más pequeño. No obstante, esto tiene sentido, ya que se hace pasar por un navegador web.
"En este punto, se hace evidente que Ransom32 es muy diferente de otros ransomware, que rara vez excede de 1 MB de tamaño", informa squared. "De hecho, la mayoría de los autores utilizan ransomware el pequeño tamaño de sus archivos maliciosos como una especie de punto de venta único cuando la publicidad de sus campañas en las comunidades de hackers subterráneas."
Como Ransom32 es un tipo de Filecoder , los cibercriminales utilizan diferentes métodos para obtener el malware en los sistemas de las víctimas:
Páginas web maliciosas
Los archivos son cifrados usando un Ver Ransomware Ataca A Sitios Web
Comentarios