21 de febrero de 2016

PADCRYPT. Primer ransomware con chat de soporte técnico en directo nicluido

PadCrypt es un nuevo ransomware descubierto y registrado a lo largo de este fin de semana. 
Este ransomware se basa en el temido CryptoWall y, a grandes rasgos, funciona igual que cualquier otra herramienta maliciosa similar. Por el momento no está clara su forma de distribución, aunque, según parece, utiliza el correo electrónico para distribuir un archivo PDF malicioso que, al ejecutarlo, instala el ransomware en el equipo y lo ejecuta para empezar el cifrado de todos los datos y el borrado seguro de los datos originales para evitar su recuperación.
A diferencia de otros ransomware similares, PadCrypt ofrece a sus usuarios dos características no vistas hasta ahora en este tipo de malware. La primera de ellas es una herramienta de desinstalación llamada “unistl.exe”. Este fichero, por desgracia, no revierte los cambios, sino que simplemente elimina del ordenador todo el rastro del ransomware original, manteniendo los datos aún cifrados y, además, sin posibilidad de recuperarlos ya que también se elimina del sistema la herramienta que nos permite realizar el pago para recuperar los datos. No se sabe con certeza el por qué de este desinstalador, aunque los expertos de seguridad aseguran que se ha generado porque los piratas informáticos han utilizado alguna plantilla para el código que, al compilarlo, ha llamado a una función para la creación de este fichero.
La segunda de las características únicas de PadCrypt es un chat de soporte técnico en directo. Desde él, las víctimas pueden ponerse en contacto con los piratas informáticos de manera que estos puedan ayudarles a realizar el pago y recuperar los archivos.
Los datos de PadCrypt son irrecuperables, aunque se pague el rescate
  • Tal como aseguran los expertos de seguridad, el servidor de comando y control (C&C) de PadCrypt está caído, por lo que al abrir la herramienta de chat el programa nos devolverá un error y no podremos hablar directamente con los piratas informáticos. Por desgracia, esto no es lo peor. Al estar el servidor de control caído, aunque las víctimas paguen por el rescate de los datos, la clave de cifrado nunca llegará al ordenador, perdiendo también el dinero que hemos pagado y quedando todos nuestros datos cifrados, irrecuperables.
  • Dos empresas de seguridad (abuse.ch y Bleeping Computer) están trabajando en poder detectar cualquier debilidad en este ransomware que permita a los usuarios recuperar los datos cifrados sin tener que pagar, sin embargo, a día de hoy no existe ninguna, por lo que lo único que recomendamos es no pagar el supuesto rescate, evitando así perder también el dinero del mismo.
Fuente: Redeszone.net