Los investigadores descubrieron un nuevo Anatova Ransomware que se llama como modular ransomware que cifrar Datos de usuarios con nuevas técnicas y demandas de $ 700 para desbloquear los archivos.
El ransomware es un negocio llave en mano para algunos criminales, y las víctimas aún pagan las crecientes demandas de rescate, se ha convertido en una industria de miles de millones de dólares que no muestra signos de desaparecer pronto.
En este caso, los investigadores utilizaron el término llamado "modular" para Anatova Ransomware, que significa, El ransomware que usa muchas formas diferentes de infectar a las víctimas con la motivación final de los datos de cifrado.
Basados en la estructura de ransomware de Anatova, los autores de Malware son altamente calificados y capacidad para usar diferentes tipos de algoritmos y también usar los planes de técnica modular para infectar más en el futuro.
Anatova es uno de los ransomware distraídos con futuros de alta inteligencia y, a diferencia de otros ransomware, no agrega ninguna extensión de archivo después de completar el proceso de cifrado.
Proceso de infección de Anatova Ransomware
Inicialmente, el Anatova Ransomware se ofrece a través de diversos medios, como documentos o PDF con armas, redes sociales y correos electrónicos no deseados.
Una vez que entró en el sistema, comienza a utilizar las técnicas de inteligencia y evasión y gananciaLa información del sistema, como el nombre de usuario, utiliza una API llamada GetUserName.
Más tarde Inicia el proceso de encriptación y encripta todos los archivos de disco, excepto los archivos que existen en la carpeta importante, como 'windows', 'archivos de programa', 'archivos de programa (x86)', 'boot', etc. que ayudan a ejecutar el sistema operativo
Durante el proceso de cifrado, Anatova Ransomware finaliza el proceso de cifrado de los archivos asociados de la siguiendo procesos
msftesql.exe agntsvc.exeisqlplussvc.exe ocomm.exe onenote.exe
sqlagent.exe xfssvccon.exe mysqld.exe outlook.exe
sqlbrowser.exe mydesktopservice.exe mysqld-nt.exe powerpnt.exxe
sqlwriter.exe ocautoupds.exe mysqld-opt.exe steam.exe
sqlservr.exe agntsvc.exeagntsvc.exe dbeng50.exe thebat.exe
ocssd.exe agntsvc.exeencsvc.exe sqbcoreservice.exe thebat64.exe
oracle.exe firefoxconfig.exe excel.exe thunderbird.exe
dbsnmp.exe tbirdconfig.exe infopath.exe visio.exe
synctime.exe mydesktopqos.exe msaccess.exe
winword.exe wordpad.exe mspub.exe
Además, omite algunas de las extensiones de archivo que existen en las ubicaciones importantes como 'windows', 'archivos de programa', 'archivos de programa (x86)', 'boot', etc. y algunas extensiones de archivo como exe, .cmd, esto & .dll etc.
Según Quick Heal Research, "Inteligentemente, este ransomware encripta los archivos cuyo tamaño es = <1MB, y si el tamaño es más de 1 MB, solo cifrará los datos de 1 MB de ese archivo, sospechamos que lo hace para tómese menos tiempo para el cifrado y para evitar la detección del software de seguridad ".
Durante el proceso de encriptación, se utiliza una combinación de algoritmo RSA y Salsa 20 que ayuda a no cifrar la mismo archivo de nuevo.
Anatova Ransomware no solo cifra el host infectado, sino que también comprueba la ubicación de la red remota y elimina la instantánea una vez que completar Su proceso de encriptación.
Más tarde, deja caer las notas de rescate en el escritorio de las víctimas infectadas que contiene la información completa sobre los pasos del proceso de pago y descifrado.
Después del cifrado, Anatova exige el pago de un rescate en una criptomoneda de 10 DASH que se calcula en algún lugar alrededor de $ 700 USD, dijeron los investigadores.
Fecha actualización el 2021-02-01. Fecha publicación el 2019-02-01. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: gbhackers