El ransomware Nullbyte pretende ser la aplicación Pokemon Go
Una nueva variante del ransomware DetoxCrypto llamada Nullbyte ha sido descubierta por el investigador de seguridad de squared, xXToffeeXx , que pretende ser la popular aplicación Pokemon Go llamada NecroBot, cuando se infecta, el ransomware cifrará los archivos de la víctima y luego exigirá 0.1 bitcoins para descifrar los archivos . Afortunadamente, Michael Gillespie fue capaz de crear un descifrador para que las víctimas puedan obtener sus archivos de nuevo de forma gratuita.
Este ransomware se distribuye a partir de un proyecto de Github que pretende ser una versión reconstruida de la aplicación NecroBot con la esperanza de que la gente lo descargará pensando que era la aplicación legítima.
Cuando alguien descarga y ejecuta la aplicación se mostrará la interfaz estándar de NecroBot pidiendo a la víctima iniciar sesión.
Si alguna información de acceso, real o falso, se introduce y se pulsa el botón de inicio de sesión, el programa pretenderá acceder a los servidores de NecroBot. En el fondo, sin embargo, el ransomware va a robar las credenciales introducidas cargándolos en el servidor de comando y control y luego comenzará a cifrar los archivos de la víctima.
Cuando haya terminado, el ransomware, visualizará la pantalla de bloqueo, que insta al usuario a pagar 0.1 bitcoins para descifrar los archivos.
El proceso de cifrado del ransomware Nullbyte
De acuerdo con el análisis posterior de MalwareHunterTeam, el ransomware Nullbyte cifrará los archivos mediante el cifrado AES y luego añadirá la extensión _ nullbyte a los archivos cifrados. Por ejemplo, se convertiría test.jpg en test.jpg_nullbyte cuando esté cifrado el archivo.
Durante el cifrado de archivos, el ransomware Nullbyte cifrará cualquier archivo que se encuentra en la carpeta siguiente:
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop
Mientras se ejecuta, este ransomware también se terminará los procesos de Chrome, cmd, taskmgr, Firefox, iexplore, y ópera. Esto se hace para que sea difícil quitar el ransomware o se pueda buscar ayuda en la web.
Por último, pero no menos importante, el ransomware generará una captura de pantalla de las pantallas activas de Windows y lo subirá al servidor de comando y control del ransomware. En este momento, no se sabe cómo se utiliza la pantalla, pero podría ser utilizado para un posible robo de información o chantaje.
Desencriptando el ransomware Nullbyte
Afortunadamente, Michael Gillespie fue capaz de crear un descifrador para el ransomware Nullbyte. Las instrucciones sobre cómo utilizar el descifrador se pueden encontrar en la Ayuda y soporte del tema sobre el ransomware Nullbyte.
A continuación, se muestra una captura de pantalla del descifrador para descifrar los archivos cifrados por este ransomware.
Archivos asociados con el ransomware Nullbyte
IOC:
Tráfico de red:
Fuente: bleepingcomputer