El equipo de investigadores de amenazas de Check Point revela el descubrimiento de dos nuevas familias de Ransomware, así como sus correspondientes soluciones de descifrado, que pueden ayudar a las víctimas a recuperar de forma gratuita sus datos perdidos. Check Point es partner del proyecto No More Ransom (NMR), cuyo objetivo es luchar contra la epidemia del secuestro digital. Por ello, las nuevas herramientas de descifrado son de uso público. Ambas familias de Ransomware son potencialmente peligrosas. Las dos familias de ransomware descubiertas son:
1- DeriaLock: Ransomware que muta en cuestión de horas
DeriaLock es un peculiar malware que ha evolucionado de manera muy rápida. Cuando apareció por primera vez el 24 de diciembre de 2016, lo único que hacía era tomar el control de la pantalla de la víctima e impedirle acceder a su ordenador. Era una molestia, pero no causaba daños reales. Dos días después, se descubrió otra variante. Esta vez incluía un mecanismo de cifrado de archivos, y amenazaba a los usuarios con borrar todos sus ficheros si reiniciaban sus equipos.
Karsten Hahn, el analista de malware que descubrió por primera vez DeriaLock, señaló en Twitter que esta era una amenaza vacía. Al menos durante unas horas, hasta que la última variación del ransomware apareció. La versión actual incluye todas estas funciones: bloqueo de pantalla, cifrado de archivos y eliminación de ficheros después de reiniciar.
Las dos familias de Ransomware descubiertas son DeriaLock y PHP
En este momento, la demanda de rescate es de sólo 30 dólares, un precio no muy alto en comparación con otras familias activas. Los investigadores de Check Point han encontrado una manera de explotar varios defectos en su programación. Esto les ha permitido crear herramientas de descifrado que ayudan a las víctimas a recuperar sus archivos y evitar tener que pagar.
2 – PHP Ransomware
El equipo de investigadores de Check Point también ha descubierto un nuevo ransomware en forma de un script PHP. La primera vez que lo encontraron fue accediendo al dominio hxxp://med-lex[.]com. Aunque esta amenaza encripta los archivos de la víctima, no es exactamente un «ransomware» per se.
A diferencia de la mayoría del malware de secuestro de datos más populares, este script no muestra ninguna nota de rescate ni intenta recibir un pago para descifrarlos archivos. Por el contrario, sólo los cifra sin ofrecer ninguna opción para recuperarlos. Tampoco se intenta comunicar con un servidor de comando y control, lo que generalmente permite rastrear el número de máquinas infectadas, descargar ejecutables u otras actividades malignas.
El PHP Ransomware comienza escaneando el sistema repetidamente. Cuando se encuentra con un directorio, comprueba sus subcarpetas y busca los archivos relevantes, para averiguar si contienen alguna de estas extensiones:
zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso.
Si uno de los archivos coincide con las extensiones anteriores, el script cambia los permisos de acceso y permite al propietario y a otros usuarios leer, escribir y ejecutar el archivo. Después lee los primeros 2048 bytes del archivo y los cifra. Si el tamaño del archivo es menor de 2 MB, se cifrará completamente. Además, una extensión «.crypted» se agrega al nombre del archivo sin omitir el original.