VaultCrypt es un nuevo ransomware que amenaza a los usuarios a través de Internet.
A grandes rasgos el funcionamiento de este software malicioso
es igual al de cualquier otro, es decir, llega a los usuarios a través de
engaños o correos electrónicos no deseados y cuando se ejecuta cifra o
“secuestra” los archivos de las víctimas, pidiendo posteriormente un rescate
por ellos. Sin embargo, a nivel interno sí que cambian varias características
de esta herramienta, que la hacen más peligrosa de lo que parece.
La naturaleza de este nuevo ransomware no es tan compleja como
la de los conocidos CryptoLocker y CryptoWall, sin embargo, no por ello es menos
peligroso. Este ransomware no muestra ningún tipo de mensaje al usuario de que
sus archivos se han visto comprometidos hasta que intenta acceder a alguno de
los archivos afectados. Durante el cifrado se utilizan claves de 1024 bits, que
son completamente eliminadas del sistema y sobrescritas hasta 16 veces para
evitar su recuperación.
Las secuencias del ransomware se ejecutan mediante un fichero
de lotes de Windows junto con scripts VBS para las rutinas. La eliminación del
malware y de las claves se realiza mediante la herramienta Microsoft SDelete.
Cifrar los archivos no es suficiente para los piratas
informáticos, por lo que este malware también descarga de forma remota un
troyano llamado ssl.exe que es utilizado para robar todo tipo de credenciales del
sistema de la víctima y poder tener así también el control del sistema
afectado.
Gracias a que los archivos originales no se eliminan de forma
completa, es posible recuperar parte de ellos utilizando herramientas libres de
análisis forense. De todas formas, la mejor opción para recuperar los archivos
es restaurar una copia de seguridad previamente creada o, de no tenerla,
aprender la lección ya que el pago del rescate (1 bitcoin) no garantiza que
vayamos a recibir la clave de recuperación.
Fuente: Softpedia
