CryptoMix variante denominada CryptoShield 1.0 ransomware Distribuido por Exploit Kits
Un nuevo CryptoMix, o CrypMix, variante llamada CryptoShield 1.0 ransomware ha sido descubierto por el investigador de seguridad Proofpoint Kafeine se distribuye a través de EITest y el RIG exploit kit.
Como nota, en este artículo voy a llamar a este CryptoShield ransomware como lo más probable es que la víctima se refieren a ella. Es importante recordar, sin embargo, que este ransomware no es una nueva infección, sino más bien una variante de la familia CryptoMix ransomware.
Cómo la víctima se infecta con CryptoShield 1.0
CryptoShield está siendo distribuido a través de los sitios que han sido manipulados o comprometidos de manera que cuando un visitante va al sitio, se encontrarán con la cadena de ataque EITest. EITest es un código de ataque JavaScript que se inyecta en los sitios de manera que será ejecutado por los visitantes. En la cadena de ataque observado por Kafeine, EITest cargará el RIG explotar kit que descargará más e instalar el ransomware CryptoShield en el equipo visitante.
Este ataque puede ser visto por debajo de donde el visitante va al sitio comprometido y encontrar la secuencia de comandos EITest. Esta secuencia de comandos a continuación, pone en marcha el código de otro sitio que activa el paquete de exploits para instalar CryptoShield.
Fuente: Kafeine
Como los kits de exploit utilizan vulnerabilidades en el programa instalado para infectar una computadora, es importante que los usuarios se aseguren de que todos los programas tengan las actualizaciones actuales instaladas. Esto es especialmente cierto para aquellos programas que interactúan con documentos o sitios en línea. Esto significa que las actualizaciones para programas como Adobe Flash y Reader, Oracle Java y Windows siempre deben estar instaladas cuando estén disponibles.
Cómo la Variante CryptoShield 1.0 cifra los archivos de una víctima
Una vez descargado y ejecutado el ejecutable de ransomware en la computadora de la víctima, generará un ID exclusivo para la víctima y una clave de cifrado. La infección a continuación, cargar el ID único y clave de cifrado privada a su servidor de comandos y control. A continuación, procederá a escanear el equipo para los archivos de destino y encriptarlos.
Cuando CryptoShield encuentra un archivo de destino, lo cifrará utilizando el cifrado AES-256, cifrará el nombre de archivo mediante ROT-13 y añadirá la extensión .CRYPTOSHIELD al archivo cifrado. Por ejemplo, un archivo llamado test.jpg sería cifrado y renombrado como grfg.wct.CRYPTOSHIELD. Puede descifrar los nombres de archivo utilizando cualquier encriptor ROT-13, como rot13.com.
En cada carpeta en la que CryptoShield cifra un archivo, también creará notas de rescate denominadas # RESTORING FILES # .HTML y # RESTORING FILES # .TXT.
Durante este proceso, el ransomware emitirá los siguientes comandos para desactivar la recuperación de inicio de Windows y para borrar las instantáneas de volumen de Windows Shadow como se muestra a continuación.
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss
CryptoShield continuación, se mostrará una alerta falsa que indica que hubo un error de aplicación en Explorer.exe. Al principio, no estaba seguro de si se trataba de un error producido por el ransomware o simplemente un estrellarse explorer.exe. A medida que lea la alerta de cerca, sin embargo, se puede ver faltas de ortografía como "momory" y una extraña petición que usted debe hacer clic en el botón Sí en la ventana siguiente "para restaurar explorer.exe trabajo". El Inglés roto realmente debería haber sido el regalo para mí.
Una vez que se pulsa OK en el mensaje anterior, se le presentará con un mensaje del Control de cuentas de usuario, que le pregunta si desea permitir que el comando "C: \ Windows \ SysWOW64 \ wbem \ Wmic.exe" llamado proceso de creación de "C: \ Users \ usuario \ SmartScreen.exe " para ejecutar. Esto explica por qué se estaba mostrando la alerta previa; para convencer a la víctima de que deben hacer clic en el Sí botón en el símbolo de abajo UAC.
Una vez que la víctima hace clic en Sí, el ransomware comenzará de nuevo y mostrará la nota # RESTORING FILES # .HTML, que se muestra a continuación.
Esta nota de rescate contiene información sobre lo que sucedió a sus archivos, una identificación personal y tres direcciones de correo electrónico que pueden utilizarse para ponerse en contacto con el desarrollador de rescate para obtener instrucciones de pago. Las direcciones de correo electrónico actuales son restoring_sup@india.com, restoring_sup@computer4u.com y restoring_reserve@india.com.
Lamentablemente, como ya se ha dicho, no hay manera de descifrar los archivos cifrados por CryptoShield de forma gratuita.