Este tipo de malware siempre se ha caracterizado por pedir al usuario una cantidad económica por la eliminación del virus o restauración del estado anterior del equipo. En este caso, el ransomware cifra los archivos que se encuentran en el disco duro del usuario siendo imposible abrirlos y acceder al contenido de estos. Al cliente, como hemos comentado en anterioridad, se le solicita una cantidad económica para descifrar los ficheros.
Evidentemente nunca se debe pagar esta cantidad ya que el virus y los archivos se pueden descifrar sin la necesidad de tener que pagar a una tercera parte. El ransomware aún no se sabe exactamente como llega al sistema del usuario pero es de esperar que utilice los métodos tradicionales y más usados en la actualidad: correo electrónico, unidades extraíbles y páginas web infectadas con el código del ransomware.
Una vez instalado, el malware se encarga de copiar su código en procesos del sistema, como svchost.exe. El usuario no nota ningún tipo de problema o ralentización del equipo hasta que regedit (el registro de Windows) y el administrador de tareas son deshabilitados.
¿Cómo se cifran los archivos?
El ransomware utiliza un patrón basado en una línea de texto. Esta es utilizada como base y es única para equipo que infecta. Después recurre a programas de cifrado que utilizando esa línea obtiene un código que es aplicado sobre los ficheros indicados. En algunos caso se ha llegado a ver que se ha empleado un doble cifrado de la información.
Este cifrado permanece habilitado hasta que el malware es eliminado de la ejecución del sistema y los procesos que han sido infectados con el código son limpiados y restaurados a su estado original.
¿Qué archivos son cifrados por el ransomware?
No se tiene a ciencia cierta un lista fija de tipos de ficheros que se ven afectados. Pero parece ser que todos los ficheros de imágenes, ejecutables .exe y documentos de texto (tanto .txt como los de Word) se encuentran en la lista de ransomware para ser cifrados.
¿Cómo borrar el malware?
En este caso, sería posible volver a un estado anterior recurriendo a la función de Windows «Restaurar el sistema». También recomiendan después de haber realizado la restauración del sistema, pasar un software antivirus actualizado por precaución, y así asegurarse que el sistema está limpio y no existe riesgo de reproducción.
Fuente | Threat Post