En los últimos días, el investigador de seguridad Emsisoft xXToffeeXx descubrió un nuevo ransomware llamado Reyptson y que está dirigido para atacar a víctimas españolas. Desde entonces se ha podido ver una mayor actividad en el desarrollo de este ransomware. Hoy, desde MalwareHunterTeam lo han analizado de forma más profunda y han visto que Reypstson utiliza su propia campaña de distribución de spam a través de la cuenta de correo electrónico de Thunderbird configurada por su víctima.
Ransomware Reyptson
Esta es una nueva característica que no se ha visto anteriormente en ransomware. Desde Bleepingcomputer han realizado un análisis más profundo para ver que podían encontrar. Para aquellos que han sido infectados con este ransomware, por desgracia no hay forma de descifrarlo actualmente y de forma gratuita.
A diferencia de cualquier otro ransomware, Reyptson incluye la capacidad de distribuirse a través de una campaña de correo electrónico de spam, conducida desde el propio ordenador de la víctima. Esto lo hace comprobando si el cliente de correo electrónico Thunderbird está instalado. En caso de que lo esté, intentará leer las credenciales de correo electrónico y los contactos de la víctima.
Si es capaz de conseguir las credenciales y los contactos, comenzará una campaña de spam para enviar facturas falsas a la lista de contactos de la víctima.
Estos correos electrónicos de spam llevan en el asunto Folcan S.L. y contiene una factura falsa. Esta factura está escrita en español e indica al destinatario que haga click en un enlace para descargarla. Una vez el destinatario ha hecho click en el enlace, descargará el archivo llamado factura.pdf.rar que contiene un archivo ejecutable. Este ejecutable, una vez el usuario lo abre, infectará el equipo con el ransomware.
Una vez ejecutado
Cuando la víctima ejecuta el ransomware Reyptson tendrá la impresión de que está abriendo una factura en PDF. Una vez se abre, se conectará a un servidor remoto y enviará datos con un ID único, número de serie del sistema, nombre de inicio de sesión de la víctima y la hora actual.
Una vez recibe esta información, así como más datos, comienza a cifrar el ordenador de la víctima mediante la búsqueda de archivos que contengan las siguientes extensiones:
.doc, .dot, .wbk, .docx, .docm, .dotx, .dotm, .docb, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .accdb, .db, .accde, .accdt, .accdr, .pdf, .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpt, .dds, .dpx, .ecw, .exr, .fits, .flic, .flif, .fpx, .gif, .hdri, .hevc, .icer, .icns, .ico, .cur, .ics, .ilbm, .jbig, .jbig2, .jng, .jpeg, .jpeg, .2000, .jpeg-ls, .jpeg, .xr, .kra, .mng, .miff, .nrrd, .ora, .pam, .pbm, .pgm, .ppm, .pnm, .pcx, .pgf, .pictor, .png, .psd, .psb, .psp, .qtvr, .ras, .rbe, .jpeg-hdr, .logluv, .tiff, .sgi, .tga, .tiff, .tiff, .ufo, .ufp, .wbmp, .webp, .xbm, .xcf, .xpm, .xwd, .cpp, .h, .cs, .sln, .idb, .txt, .dat
Si encuentra un archivo de este tipo lo cifrará utilizando el cifrado AES-128.
Al cifrar un archivo, agregará la extensión .Reyptson, por ejemplo si se llama test.png, una vez está cifrado pasaría a llamarse test.png.Reyptson.
Adicionalmente, crea un archivo con la información de cómo recuperar los documentos cifrados, así como la cantidad de dinero que piden, que actualmente son 200 euros. Pasadas 72 horas, si no han recibido el pago, éste tendría que ser de 500 euros.