BANDARCHOR RANSOMWARE NUEVA VARIANTE

Anuncios maliciosos que aparecen en varios sitios web para adultos y una tienda de venta de quadrocopters (zánganos) están infectando para los visitantes con una nueva versión del ransomware BandarChor.

Descubierto por el investigador de seguridad Proofpoint Kafeine, la nueva versión BandarChor fue confirmada por Lawrence Abrams de que pita por ordenador, y el investigador de seguridad Malwareforme.

BandarChor todavía fuerte después de dos años

Algunos pueden reconocer el nombre de BandarChor, ya que era una de las variantes de ransomware, junto con CTB-Locker, CryptoWall, TorrentLocker, o TeslaCrypt, que forman parte de la primera oleada de cripto-taquillas que hizo sentir su presencia en 2015, y comenzó la ola interminable de ransomware que vemos hoy.

Las primeras infecciones ransomware BandarChor fueron vistos en noviembre de 2014, y el primer informe sobre las actividades del ransomware vinieron de la empresa de seguridad finlandesa F-Secure, en marzo de 2015.

Al año siguiente, el número de infecciones BandarChor bajó, pero el ransomware no desapareció, siendo descubierto en de marzo de el año 2016 por investigadores ReaQta.

A pesar del hecho de que sobrevivió en el mercado más de dos años, BandarChor apenas ha cambiado su modo de operación inicial, sigue pidiendo a los usuarios infectados para enviar un correo electrónico al autor del ransomware.

La dirección de correo electrónico de la curva ha cambiado, pero eso era de esperar. Esta dirección de correo electrónico se puede encontrar en la nota de rescate, creado en todas las carpetas en el ransomware ha archivos cifrados. El nombre de este archivo de texto la nota de rescate es CÓMO DECRYPT.txt y listas help@decryptservice.info~~V~~singular~~3rd, Shigorin.Vitolid@gmail, y un @DecryptService dirección del telegram que puede ser utilizado por las víctimas a ponerse en contacto con los desarrolladores y obtener instrucciones de pago.

El correo electrónico help@decryptservice.info también se utiliza en la extensión de archivo BandarChor añade a archivos cifrados.

Como descubierto por F-Secure en 2015, y otra vez por ReaQta en 2016, BandarChor no ha actualizado el patrón utilizado para esta extensión de archivo [Original_file_name] .id- [ID] _ [EMAIL_ADDRESS]

Para esta campaña, cuando BandarChor cifra los archivos, se necesitará un archivo llamado test.jpg y renombrarlo como test.jpg.id-1235240425_help@decryptservice.info .

Al igual que en las variantes anteriores, BandarChor se basa en una conexión a Internet para hablar con un servidor de C & C en línea. Esta variante BandarChor se comunica con los siguientes servidores remotos:

  • #Remote servers
  • checkip.dyn.com/ - IP check
  • checkip.amazonaws.com/ - IP check
  • tomtom.eu.pn/123/index.php - C&C server communications

Malwareforme indicó que esta variante de BandarChor continúa utilizando la misma estructura de la URL como versiones anteriores cuando se comunica con los servidores de mando y control. Urls que utiliza: POST /777/index.php HTTP/1.1, POST /123/index.php HTTP/1.1, POST /555/index.php HTTP/1.1, POST /345/index.php HTTP/1.1

Tal y como aparece, esta variante BandarChor es otra actualización menor a una amenaza continua que ha logrado sobrevivir todos estos años. Esto es más probable debido al pequeño número de infecciones que hizo, lo que le permitió evitar llamar la atención de los organismos encargados de hacer cumplir la ley


Fecha actualización el 2016-12-16. Fecha publicación el 2016-12-16. Categoría: Malware. Autor: Oscar olg Mapa del sitio
BandarChor ransomware