Si la inventiva que tiene esta gente se utilizará para realizar proyectos útiles y software de calidad, los sistemas serían 10 veces más seguros.
http://www.securityweek.com/crypy-ransomware-uses-unique-key-each-file
Traducción Google:
Una familia ransomware recién observado que fue escrito en Python obtiene una clave única para cada uno de los archivos de la víctima antes de la encriptación, los investigadores advierten de Kaspersky.
Apodado CryPy , esta no es la primera ransomware que ser escrito en Python, con amenazas como HolyCrypt, Fs0ciety Locker, y otros observó antes. Sin embargo, no se destacan por su uso de claves únicas para los archivos cifrados y porque se abusa de un servidor comprometido israelí de mando y control (C & C) de comunicación.
Una falla en el Magento sistema de gestión de contenidos permite a los atacantes cargar un script PHP y archivos adicionales para que puedan utilizar el servidor comprometido como del ransomware C & C. Además, apalancado el servidor de ataques de phishing, y los investigadores sugieren que un actor de amenaza de lengua hebrea estaba detrás de estos ataques.
Ejecutable Python del ransomware se compone de dos archivos principales, uno llamadoboot_common.py, y otra llamada encryptor.py . Los investigadores de seguridad de Kaspersky explican que, mientras que la primera se encarga de registro de errores en las plataformas Windows, el segundo es el armario real.
Durante el análisis, los investigadores descubrieron que el malware no fue la encriptación de los archivos en el equipo de destino, supuestamente porque el actor amenaza migra a un nuevo servidor. En el proceso, dicen los investigadores, podrían tener «eliminado las trazas restantes de los archivos PHP que utilizaron para la recolección de datos de máquina de la víctima.»
En las máquinas comprometidas, el ransomware podría desactivar una serie de características al sobrescribir las políticas de registro, incluyendo Herramientas del registro, administrador de tareas, CMD y Ejecutar. A continuación, se deshabilita la recuperación y mueve la política de ignorar el estado de arranque.
CryPy se observó enviando datos al servidor C & C a lo largo de un canal HTTP no cifrado en texto, lo que permite la inspección del tráfico fácil. código Python del ransomware contiene llamadas codificadas a los scripts PHP en el servidor C & C, en la forma de una petición GET.
Entre la información transmitida entre el malware y el C & C, los investigadores encontraron información del sistema, nodo, la liberación, la versión, la máquina y el procesador (todos codificados con Base64), una dirección IP y la identificación única de la víctima para solicitar sus claves de descifrado después del pago.
Los investigadores de seguridad explican que el malware envía el nombre de archivo y el ID de la víctima con el servidor, que responde con una clave única después del cifrado (que se añadirá a la cabecera del fichero), y un nuevo nombre de archivo. Al generar un token único para cada archivo, los investigadores explican, los atacantes pueden proporcionar a las víctimas la posibilidad de descifrar un par de archivos de forma gratuita, lo que supuestamente demuestran la confianza y la integridad.
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024