EVILTWIN MALWARE EN DESARROLLO

Descubierto el 12 de octubre por MalwareHunterTeam, EvilTwin ransomware cifrará todos los archivos ejecutables, incluyendo carpetas específicas en el ordenador de la víctima

El ransomware EvilTwin parece estar actualmente en el modo de desarrollo, con tres variantes liberados en los últimos tres días, según MalwareHunterTeam, la primera variante contenía una imagen de Hitler como parte de los antecedentes de la nota de rescate, la segunda incluye una imagen diferente de Hitler y un poco de texto, y el tercero contiene el screenlocker de un rompecabezas.

En general, no hay nada particularmente innovador de este ransomware, pero contiene una característica molesta. Es el cifrado constante de nuevos archivos en las carpetas específicas, que se describe en la siguiente sección.

Comprobación constante de nuevos archivos mata CPU

La mayoría ransomware se suelen instalar, realizar un cifrado de los tipos de archivo específicos, y luego desinstalar sí. Es poco común, si no rara, para un ransomware continuar en ejecución y cifrar archivos nuevos a medida que se crean.

EvilTwin, por el contrario, hace exactamente eso. Mientras se ejecuta, será buscar constantemente nuevos archivos a cifrar en las carpetas específicas y encriptación de las mismas cuando se descubrió. Para ello, constantemente bucle a través de las distintas carpetas y simplemente cifrar los archivos específicos que no están cifrados. Esto, sin embargo, utiliza una gran cantidad de CPU y se agita el disco duro, por lo que el equipo casi inutilizable.

El proceso de cifrado ransomware exótica

Cuando se inicia el ransomware se explorará ciertas carpetas para los archivos que tienen extensiones específicas. Cuando se encuentra con una extensión de archivo específica, se cifrará el archivo mediante el cifrado AES-128, cambie el nombre del archivo y anexar el .exotic extensión a ellos. Por ejemplo, un archivo llamado test.jpg podría ser encriptado como el nombre del archivo 87as.exotic.

Como se ha mencionado anteriormente, cuando EvilTwin encripta un equipo que actualmente sólo se dirige a carpetas específicas. Estas carpetas son:


%UserProfile%\Desktop
%UserProfile%\MyMusic
%UserProfile%\Personal
%UserProfile%\MyVideos
%UserProfile%\Contacts\
%UserProfile%\Downloads\
%UserProfile%\MyPictures
/vmware-host/
%UserProfile%

Los tipos de archivo que EvilTwin cifrara

.txt .exe .text .cur .contact .ani .xls .com .url .ppt .src .cmd .tgz .fon .pl .lib .load .CompositeFont .png .exe .mp3 .mkv .veg .mp4 .lnk .zip .rar .7z .jpg .sln .crdownload .msi .vb .vbs .vbt .config .settings .resx .vbproj .json .jpeg .scss .css .html .hta .ttc .ttf .eot .camproj .m4r .001 .002 .003 .004 .005 .006 .007 .008 .009 .au .aex .8be .8bf .8bi .abr .adf .apk .ai .asd .bin .bat .gif .3dm .3g2 .exe .3gp .aaf .accdb .aep .aepx .aet .ai .aif .arw .as .as3 .asf .asp .asx .avi .bay .bmp .cdr .cer .class .cpp .contact .cr2 .crt .crw .cs .csv .dll .db .dbf .dcr .der .dng .doc .docb .docm .docx .dot .dotm .dotx .dwg .dxf .dxg .efx .eps .erf .fla .flv .iso .idml .iff .ini .sik .indb .indd .indl .indt .ico .inx .jar .jnt .jnt .java .key .kdc .m3u .m3u8 .m4u .max .mdb .mdf .mef .mid .mov .mpa .mpeg .mpg .mrw .msg .nef .nrw .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdb .pdf .pef .pem .pfx .php .plb .pmd .pot .potm .potx .ppam .ppj .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prproj .ps .psd .pst .ptx .r3d .ra .raf .raw .rb .rtf .rw2 .rwl .sdf .sldm .sldx .sql .sr2 .srf .srw .svg .swf .tif .vcf .vob .wav .wb2 .wma .wmv .wpd .wps .x3f .xla .xlam .xlk .xll .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx

El ransomware descargará una imagen de fondo para la pantalla de bloqueo y lo guarda en la carpeta %Temp%. El ransomware a continuación, mostrará la pantalla de bloqueo.

Mientras se ejecuta el programa se verá ciertos procesos terminar. Los procesos terminados por EvilTwin son:

taskmgr, cmd, procexp, procexp64, regedit, CCleaner64,msconfig

El ransomware continuará monitoreando las carpetas mencionadas anteriormente para los nuevos archivos sin encriptar y cifrar ellos. Cuando el temporizador llega a 0, EvilTwin apagará el equipo.

El ransomware también se copia en el %USERPROFILE%\AppData\ y en el Menú Roaming\Microsoft\Windows\Inicio\Programas\Inicio\svchost.exe archivo, pero sólo. Por lo tanto, en el reinicio del ransomware ya no estará activo.

Como ya se ha indicado, este ransomware parece estar actualmente en el modo de desarrollo, por lo que no se debe ver en la red hasta el momento.


Fecha actualización el 2016-10-15. Fecha publicación el 2016-10-15. Categoría: Malware. Autor: Oscar olg Mapa del sitio
malware