La firma rusa Kaspersky Labs publicó recientemente un informe en el cual anuncia la detección de una nueva variante del ransomware KeyPass, una que ha afectado a usuarios de todo el mundo desde el pasado 8 de agosto y que ha llegado con una característica que permite a los hackers modificar el código malicioso de manera remota, posibilitándoles manipular el proceso de cifrado.
Según los expertos, este ransomware ya ha afectado al menos a 100 víctimas residentes de países en desarrollo como Brasil (19.5% de los ataques) y Vietnam (14.6%), además de Argelia, Irán, La India, Francia y Alemania. A pesar de conocer esto, no está claro todavía cuál es el método de distribución de KeyPass.
KeyPass es una variante del ransomware STOP que fue revelado por primera vez en febrero de 2017, y que funciona así: una vez el malware es instalado en el equipo, copia su archivo ejecutable en la carpeta LocalAppData y se elimina cuando se completa el proceso de ataque. Pese a ello, antes de desaparecer, el malware copia su propio proceso en diversas ubicaciones distintas en el dispositivo. Posteriormente, KeyPass busca los archivos para encriptarlos.
Tras ese proceso de cifrado, el ransomware se conecta al servidor de comando y control para proporcionar la clave de descifrado, que puede ser utilizada para recuperar todos los archivos. Luego, KeyPass utiliza el cifrado AES-256 para encriptar los archivos y agrega la extensión .KEYPASS, haciendo inutilizables los datos comprometidos.
Rescate en Bitcoin
Tras los ataques, KeyPass genera una nota de rescate exigiendo US$ 300 en Bitcoin para ofrecer la clave de descifrado (arriba), además de una amenaza: subir la tarifa si las víctimas no pagan en un lapso de 72 horas.
Kaspersky Labs desconoce aún la identidad de los hackers, pero recomienda a la comunidad online que la mejor forma de protegerse es no siendo víctima del ataque ni cayendo en su trampa, es decir, descargando softwares solo de fuentes confiables.
Ver fuente
No hay comentarios.:
Publicar un comentario