|
El día de hoy el equipo de MalwareHunterTeam identifico otro archivo con el nombre IMPORTANT.README que muestra otro diseño para el troyano en donde se requiere de una suma de 100 Bitcoins! (¿¿44.640??)
Hace uso de las siguientes llaves de registro que pueden indicar el uso de los algoritmos DES, RSA y AES para cifrar la información:
» HKEY_CLASSES_ROOT\interface\{587e8c22-9802-11d1-a0a4-00805fc147d3}
» HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
» HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
Cifra el contenido de los siguientes tipos de archivo:
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .hid, .idx, .ifx, .iso, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rpt, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sqllite, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip
Cabe mencionar que las extensiones de los archivos cifrados y las fechas de creación no son modificadas por lo que es difícil para el usuario identificar cual información se ha visto afectada.
Al establecer comunicación con los atacantes se define el costo/monto a pagar y los requerimientos para poder recuperar toda la información:
|
