La semana pasada nos hicimos eco de la nueva versión de esta amenaza que se estaba distribuyendo. Expertos en seguridad ya han tenido la oportunidad de acceder a más detalles y analizar Nemucod de una forma más exhaustiva, llegando a la conclusión de que este malware se vale de código PHP y JavaScript para infectar los equipos de los usuarios.
El punto de partida de esta amenaza fue el año 2015 y desde entonces se ha considerado un dropper, es decir, una virus informático desarrollado cuya principal finalidad no es otra que realizar la descarga de otras. Sin ir más lejos, hemos tenido la oportunidad de ver como ha distribuido algunos de los ransomware más problemáticos para los usuarios. Esta es la función de estas amenazas, instalar otras y nada más y nada menos, algo que no parece muy útil. Por este motivo, los propietarios han decidido dar una vuelta de rosca al dropper que ha pasado a convertirse en ransomware. Sí, habéis leído bien, a partir de ahora se trata de una amenaza que llevará a cabo el cifrado de los archivos almacenados en el equipo.
Desde el pasado mes de marzo, los propietarios han publicado varias versiones que cifraban los archivos utilizando la versión .crypted. Los expertos en seguridad de la empresa de seguridad Intel usan una combinación de JavaScript y PHP para llevar a cabo el cifrado de estos. La forma de distribuir la amenaza no ha variado, tal y como adelantamos hace días, haciendo uso de correos electrónicos spam y utilizando archivos adjuntos ejecutables para infectar los equipos, haciendo creer obviamente a los usuarios que se encuentran ante un PDF o un archivo perteneciente a la suite ofimática Microsoft Office.
Esta versión de Nemucod debería ser fácil de crackear
Cuando hablamos de un cifrado de archivos muchos lo asocian con echarse las manos a la cabeza y dar por perdidos los archivos. Según los responsables de Intel Security, el cifrado no es extremadamente robusto, pudiendo aplicar ingeniería inversa que debería permitir recuperar los archivos de una forma más o menos sencilla. Todavía no está disponible ninguna herramienta que automatice el proceso, por lo que sigue siendo recomendable recurrir a copias de seguridad periódicas para cubrirnos las espaldas ante estos problemas.
Como información adicional, decir que en esta ocasión los ciberdelincuentes solicitan el pago de 0.37 Bitcoins, que vinen a ser unos 254 dólares. Pero ya se sabe que desaconseja realizar el pago para fomentar el crecimiento de lo que ya se considera una industria.
Fuente | Softpedia