Año nuevo nos trae un nuevo tipo de ransomware llamado Ransom32 . Esto no sería tan digno de mención si no fuera por una cosa: Ransom32 es el primero de su tipo, porque se basa en Javascript. El programa malicioso utiliza la plataforma NW.js, lo que lo convierte en un ransomware entre OS. Hasta ahora sólo se ha dirigido a los sistemas operativos Windows, sin embargo, que puede cambiar fácilmente como el marco NW.js permite que se escriba para Mac OS X y Linux. Este marco también es responsable de conceder el ransomware con más control sobre el sistema afectado y permitir que JavaScript funcione casi de la misma manera que los lenguajes de programación como C++ y Delphi. First JavaScript-based ransomware

Otro problema con la aplicación maliciosa es que se vende como un servicio. Ransom32 puede ser descargado desde un sitio web TOR subterráneo por cualquier persona que tiene una dirección Bitcoin. El llamado comprador no tiene que pagar nada por el ejecutable, pero los desarrolladores del ransomware toman un 25% de corte de todos los pagos de rescate que se envían a la dirección Bitcoin del comprador. Una vez que un usuario se registra para el malware, se le presenta una consola de afiliados, que muestra las estadísticas de la campaña de distribución, incluyendo instalaciones, pantallas de bloqueo, pagos y BTC de pago. La consola también contiene una sección de configuración de configuración, donde el afiliado puede establecer la cantidad de Bitcoins que se pedirá a los usuarios de computadoras, elegir si el equipo infectado debe estar bloqueado, y así sucesivamente. Una vez que el afiliado descarga la versión personalizada del parásito, puede iniciar su distribución.

El proceso de cifrado se inicia poco después de que la amenaza se infiltra en el sistema informático. El archivo malicioso entra en el sistema en forma de un archivo RAR de 22 MB que se autoextrae y añade varios archivos a la Chrome carpeta del navegador C:. También crea un acceso directo en la carpeta de inicio llamado Chrome servicio, que permite que el ransomware para iniciar automáticamente cada vez que el usuario enciende el PC. El acceso directo en sí está vinculado a un chrome archivo .exe, que en realidad es un paquete NW.js que contiene código Javascript que cifra los archivos que se almacenan en el equipo. Los tipos de archivos que pueden verse afectados por el cifrado incluyen .jpg, .docx, .pdf, .xls, .pptx, .mp4, .avi, .3gp, .asf, .mpeg, .wma, .dat y muchos más.

Una vez que el malware se hace con el cifrado, se muestra un mensaje en el escritorio. Este mensaje informa al usuario que sus datos han sido cifrados y que con el fin de recuperarlo, necesita comprar una clave de descifrado privada. Al usuario se le da un plazo de 4 días antes de que se aumente el importe del pago, y un plazo de 7 días antes de que se destruya la clave. El idioma predeterminado del mensaje es el inglés, sin embargo, también se puede presentar en español. La pantalla también ofrece la posibilidad de descifrar un archivo de forma gratuita para demostrar que los archivos pueden ser recuperados.

Desafortunadamente, en este momento no hay opciones posibles para descifrar los archivos de ninguna manera alternativa, aparte de restaurarlos de copia de seguridad. Es por eso que es tan importante tener copias de seguridad de sus datos más relevantes. También le instamos a ser más cuidadoso en línea, especialmente al descargar archivos en su PC, y tener una poderosa herramienta de prevención y eliminación de malware instalado y actualizado en todo momento.

Deja un comentario