Artículo: CryPy Ransomware Uses Unique Key for Each File. 

Si la inventiva que tiene esta gente se utilizará para realizar proyectos útiles y software de calidad, los sistemas serían 10 veces más seguros.

http://www.securityweek.com/crypy-ransomware-uses-unique-key-each-file

Traducción Google:

Una familia ransomware recién observado que fue escrito en Python obtiene una clave única para cada uno de los archivos de la víctima antes de la encriptación, los investigadores advierten de Kaspersky.

Apodado CryPy , esta no es la primera ransomware que ser escrito en Python, con amenazas como HolyCrypt, Fs0ciety Locker, y otros observó antes. Sin embargo, no se destacan por su uso de claves únicas para los archivos cifrados y porque se abusa de un servidor comprometido israelí de mando y control (C & C) de comunicación.

Una falla en el Magento sistema de gestión de contenidos permite a los atacantes cargar un script PHP y archivos adicionales para que puedan utilizar el servidor comprometido como del ransomware C & C. Además, apalancado el servidor de ataques de phishing, y los investigadores sugieren que un actor de amenaza de lengua hebrea estaba detrás de estos ataques.

Ejecutable Python del ransomware se compone de dos archivos principales, uno llamadoboot_common.py, y otra llamada encryptor.py . Los investigadores de seguridad de Kaspersky explican que, mientras que la primera se encarga de registro de errores en las plataformas Windows, el segundo es el armario real.

Durante el análisis, los investigadores descubrieron que el malware no fue la encriptación de los archivos en el equipo de destino, supuestamente porque el actor amenaza migra a un nuevo servidor. En el proceso, dicen los investigadores, podrían tener «eliminado las trazas restantes de los archivos PHP que utilizaron para la recolección de datos de máquina de la víctima.»

En las máquinas comprometidas, el ransomware podría desactivar una serie de características al sobrescribir las políticas de registro, incluyendo Herramientas del registro, administrador de tareas, CMD y Ejecutar. A continuación, se deshabilita la recuperación y mueve la política de ignorar el estado de arranque.

CryPy se observó enviando datos al servidor C & C a lo largo de un canal HTTP no cifrado en texto, lo que permite la inspección del tráfico fácil. código Python del ransomware contiene llamadas codificadas a los scripts PHP en el servidor C & C, en la forma de una petición GET.

Entre la información transmitida entre el malware y el C & C, los investigadores encontraron información del sistema, nodo, la liberación, la versión, la máquina y el procesador (todos codificados con Base64), una dirección IP y la identificación única de la víctima para solicitar sus claves de descifrado después del pago.

Los investigadores de seguridad explican que el malware envía el nombre de archivo y el ID de la víctima con el servidor, que responde con una clave única después del cifrado (que se añadirá a la cabecera del fichero), y un nuevo nombre de archivo. Al generar un token único para cada archivo, los investigadores explican, los atacantes pueden proporcionar a las víctimas la posibilidad de descifrar un par de archivos de forma gratuita, lo que supuestamente demuestran la confianza y la integridad.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.