VaultCrypt, un ransomware que utilizan GnuPG para cifrar los archivos

Escrito por Rubén Velasco
Seguridad
0

El ransomware es el tipo de malware más peligroso de los últimos tiempos. Este software malicioso ataca los datos de los usuarios, los cifra y pide un rescate para poder recuperar el acceso a ellos o, de lo contrario, se perderán para siempre. Las empresas de seguridad suelen buscar fallos de seguridad en el cifrado que permita recuperar los archivos sin pagar el rescate, aunque los piratas informáticos cada vez lo ponen más difícil al utilizar claves y algoritmos seguros y fuertes, imposibles de crackear.

VaultCrypt es un nuevo ransomware que amenaza a los usuarios a través de Internet. A grandes rasgos el funcionamiento de este software malicioso es igual al de cualquier otro, es decir, llega a los usuarios a través de engaños o correos electrónicos no deseados y cuando se ejecuta cifra o “secuestra” los archivos de las víctimas, pidiendo posteriormente un rescate por ellos. Sin embargo, a nivel interno sí que cambian varias características de esta herramienta, que la hacen más peligrosa de lo que parece.

La naturaleza de este nuevo ransomware no es tan compleja como la de los conocidos CryptoLocker y CryptoWall, sin embargo, no por ello es menos peligroso. Este ransomware no muestra ningún tipo de mensaje al usuario de que sus archivos se han visto comprometidos hasta que intenta acceder a alguno de los archivos afectados. Durante el cifrado se utilizan claves de 1024 bits, que son completamente eliminadas del sistema y sobrescritas hasta 16 veces para evitar su recuperación.

Las secuencias del ransomware se ejecutan mediante un fichero de lotes de Windows junto con scripts VBS para las rutinas. La eliminación del malware y de las claves se realiza mediante la herramienta Microsoft SDelete.

Cifrar los archivos no es suficiente para los piratas informáticos, por lo que este malware también descarga de forma remota un troyano llamado ssl.exe que es utilizado para robar todo tipo de credenciales del sistema de la víctima y poder tener así también el control del sistema afectado.

Desde el siguiente enlace podemos ver el script para arrancar el malware, que ha sido utilizado para comprender cómo funciona este software a nivel interno.

Gracias a que los archivos originales no se eliminan de forma completa, es posible recuperar parte de ellos utilizando herramientas libres de análisis forense. De todas formas, la mejor opción para recuperar los archivos es restaurar una copia de seguridad previamente creada o, de no tenerla, aprender la lección ya que el pago del rescate (1 bitcoin) no garantiza que vayamos a recibir la clave de recuperación.

¿Crees que el ransomware se está volviendo cada vez más peligroso?

Fuente: Softpedia