El ransomware Qwerty se vale de GnuPG para cifrar los archivos

Escrito por Adrián Crespo

El nombre seguro que os resulta similar. Existe un keylogger filtrado de la propia NSA que recibió este nombre. Sin embargo, este caso es diferente. Hablamos de un ransomware que utiliza la librería GnuPG para llevar a cabo el cifrado de la información de los archivos afectados. Qwerty es uno de los ransomware que más actividad está demostrando en las últimas semanas. Sí, la extensión que se añade a los archivos afectados corresponde con el nombre de la amenaza, tal y como sucede con la mayoría de este tipo.

La particularidad de esta amenaza es que se vale de un software legítimo para llevar a cabo el cifrado de la información. Sí, se trata de la aplicación GnuPG. ¿La única? La realidad es que no. Otras amenazas han hecho uso de esta librería para llevar a cabo esta tarea, ahorrando tiempo de desarrollo. Estamos hablando de VaultCrypt y KeyBTC. Sobre todo, la primera tuvo presencia a nivel de infecciones durante al menos un año. La segunda podría decirse que pasó por Internet sin pena ni gloria, con un número bastante discreto de infecciones. A pesar de todo, esto es algo para nada común, ya que las amenazas acostumbran a utilizar sus propios métodos de cifrados de archivos.

Vía de difusión de la amenaza

Expertos en seguridad han conseguido averiguar información relacionada con esta amenaza. El aspecto más importante es determinar la vía de difusión. A diferencia de otras que utilizan páginas web o correos electrónicos para distribuirse, el método de difusión de Qwerty es manual. Los ciberdelincuentes realizan un escaneo de los puertos abiertos en el equipo y la existencia de servicios de escritorio remoto activos y con una seguridad deficiente. A través de este se produce la llegada de la amenaza al equipo.

Ni que decir tiene que los propietarios del ransomware se han centrado en los dispositivos con sistema operativo Windows.

Los detalles del ransomware Qwerty

Vamos a detallar algunos aspectos relacionados con la amenaza que nos ocupa. En lo que se refiere a archivos desplegados en el sistema, indicar que en los equipos afectados encontraremos los siguientes:

  • GnuPG gpg.exe
  • gnuwin32 shred.exe
  • find.exe

Mientras el primer ejecutable hace referencia a la librería de cifrado, el segundo hace referencia a una librería que se encarga de ejecutar algunos archivos JavaScript. El tercero es llamado por uno de los archivos JavaScript ejecutados anteriormente. GnuPG gpg.exe es el punto de ejecución de la amenaza, ejecutando el archivo Key.bat que llevará a cabo una serie de operaciones.

Búsqueda en función del nombre

Mientras algunas amenazas se centran, sobre todo, en cifrar archivos que se encuentren en determinadas ubicaciones, Qwerty analiza el nombre para posteriormente saber si debe aplicar o no el cifrado.

Los archivos que pueden verse afectados son aquellos que no contengan estas cadenas de caracteres:

  • Recycle
  • temp
  • Temp
  • TEMP
  • windows
  • Windows
  • WINDOWS
  • Program Files
  • PROGRAM FILES
  • Program
  • Data
  • gnupg
  • .qwerty
  • README_DECRYPT
  • .txt
  • .exe
  • .dll

Una vez realizado el proceso de cifrado, se genera un archivo de texto informativo. El usuario encontrará la dirección de correo cryz1@protonmail.com. Será la vía utilizada para contactar con el propietario de la amenaza y recibir instrucciones.

Fuente > Bleeping Computer