RANSOMWARE PY CL SE ENTREGA A TRAVES DEL EXPLOIT RIG

El PyCL ransomware se distribuye como un instalador NSIS que contiene un paquete de Python que se utiliza para cifrar un ordenador y un tutorial sobre cómo pagar el rescate. PyCL también se comunica de nuevo al servidor de comando y control en cada etapa del proceso con el fin de proporcionar información de depuración / de estado para el desarrollador.

Cuando se ejecuta el instalador PyCL, los archivos del tutorial se extraerán en la carpeta %AppData\Roaming\How_Decrypt_My_Files\ y los componentes de Python se extraerán en la carpeta %AppData%\cl.

El instalador se conectará con el servidor de comando y control en 170.254.236.102/status/?status=IS&u=xkwctmmh&sub=1 seguido por el lanzamiento del ejecutable %AppData%\cl\cl.exe. Cl.exe es en realidad una secuencia de comandos de Python compilado en un archivo ejecutable, que comenzará a cifrar el ordenador.

PyCL primero comprobará si el usuario tiene privilegios de administrador, y si lo hacen, eliminará las instantáneas de volumen en el ordenador utilizando el comando: c:\windows\system32\vssadmin.exe delete shadows /all /quiet

A continuación, se conecta al servidor de nuevo C2 y envía una solicitud POST a http://170.254.236.102/init/ . Esta solicitud POST enviará la versión de Windows víctimas, si la víctima tiene privilegios administrativos, la resolución de la pantalla, la arquitectura del procesador, nombre del equipo, nombre de usuario y la dirección MAC del adaptador de red principal.

El servidor C2 responderá con una clave pública RSA-2048 de cifrado pública, una dirección de pago Bitcoin, el importe del rescate en bitcoins, y la cantidad en dólares de rescate. Esta información se guarda entonces en el public_key.txt archivos, btc_address.txt, btc_price.txt y usd_price.txt en la carpeta %AppData%\cl.

PyCL ahora va a generar una lista de archivos para cifrar y almacenar esta lista en la carpeta %AppData%\cl\filelist.txt. Cuando se genera la lista se saltará archivos que se encuentran en las siguientes carpetas: WINDIR, APPDATA, LOCALAPPDATA, ProgramData, ProgramFiles, PROGRAMW6432, $RECYCLE.BIN, and ProgramFiles(x86)

A continuación, cifrar cada archivo en esta lista con una clave única de cifrado AES-256 para cada archivo. La lista de archivos y su respectiva clave de descifrado se guarda entonces en un archivo con el nombre aleatorio en la carpeta CL. Este archivo se cifra a continuación, utilizando la clave de cifrado pública RSA-2048 que fue recibido previamente desde el servidor C2.

En este momento, debido a la forma se codifica el ransomware, los archivos originales NO se eliminan ! Así, mientras se crea una copia cifrada de los archivos, usted todavía tiene acceso a los archivos originales sin cifrar.

Cuando se haya completado, se creará un enlace en el escritorio llamado Cómo descifrar Mi Files.lnk que abre el Roaming\ archivo %AppData%\How_Decrypt_My_Files\. Este archivo contiene un tutorial sobre cómo pagar el rescate y obtener los archivos de nuevo. Una pequeña porción de esta nota de rescate puede verse a continuación.

Esta pantalla de bloqueo contendrá un temporizador de 4 días, su dirección bitcoin, y la cantidad del rescate. Si hace clic en el proceder al pago botón, se abrirá la nota de rescate desde el servidor C2. Mientras se ejecuta, esta pantalla de bloqueo será intermitente comprobar el servidor C2 para ver si el pago se ha hecho a su dirección bitcoin. Si se ha realizado un pago, se descifrará automáticamente los archivos en el ordenador.

Dado que este ransomware actualmente no borra los archivos originales, las que están infectadas no tienen que preocuparse de perder sus archivos. Si esto cambia, sin embargo, se examinará en profundidad el ransomware para la debilidad que puede ser explotado para descifrar los archivos de forma gratuita.

Archivos asociados con la PyCL ransomware