Una nueva familia de Android Ransomware denominada Android / Filecoder.C distribuyó varios foros en línea y utiliza la lista de contactos de la víctima para enviar SMS con un enlace malicioso.
ESET detectó la actividad del ransomware desde el 12 de julio de 2019, "debido a la limitación de objetivos y fallas tanto en la ejecución de la campaña como en la implementación de su cifrado, el impacto de este nuevo ransomware es limitado".
El ransomware distribuido en dos métodos, a través de foros en línea y mensajes SMS. Los actores de la amenaza publican o comentan los enlaces de descarga de ransomware en los foros de desarrolladores de Reddit o XDA.
Para atraer a la víctima, los actores de la amenaza publican los códigos QR relacionados con la pornografía o la tecnología o los códigos QR que se vinculan con las aplicaciones maliciosas. Los atacantes también ocultan el enlace usando acortadores de URL, el poco compartido en Reddit muestra que recibió 59 clics hasta ahora de diferentes países y un enlace creado el 11 de junio de 2019.
Infección del dispositivo
Al hacer clic en el enlace en el SMS, descarga el archivo malicioso y la necesidad de la víctima de instalar la aplicación, una vez instalada "muestra lo que se promete en las publicaciones que lo distribuyen, pero su propósito es la comunicación C&C, difundir mensajes maliciosos e implementar el mecanismo de cifrado / descifrado ", lee el informe de ESET .
42 idiomas, direcciones de C&C y Bitcoin codificadas en el ransomware, antes de cifrar el dispositivo, distribuye los enlaces a todas las víctimas, luego el almacenamiento de archivos de acceso del ransomware para comenzar con el proceso de cifrado.
Los investigadores señalaron que "los archivos aún se pueden recuperar, debido a un cifrado defectuoso". Además, según nuestro análisis, no hay nada en el código del ransomware que respalde la afirmación de que los datos afectados se perderán después de 72 horas ".
Cifra los siguientes tipos de archivos: “.Doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, ".Vsd", ".vsdx", ".txt", ".csv", ".rtf", ".123", ".wks", ".wk1", ".pdf", ".dwg", “.Onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.Xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pptm”, “.pps”, “.Ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.Sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.Bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.Iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, ".Psd", ".Ai", ".svg", ".djvu",“.M4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.Avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.Sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.Dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.H”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, ".Myi", ".myd", ".frm", ".odb", ".dbf", ".db", ".mdb", ".accdb", ".sql", ".sqlitedb", “.Sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.Sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, ".3dm", ".max",“.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, ".Key", ".pfx", ".der"
Este ransomware no bloquea la pantalla como otros ransomware y no cifrará los siguientes directorios ".cache", "tmp" o "temp" y ".zip" o ".rar" con más de 50 MB y ".jpeg" , ".Jpg" y ".png" archivo de menos de 150kb. Una vez que se completa el cifrado del archivo, agrega la extensión .seven al archivo y solicita a los usuarios que paguen el rescate para desbloquear los archivos.
Pero según los investigadores de ESET, los archivos se pueden descifrar sin pagar el rescate ", sería posible descifrar archivos sin pagar el rescate cambiando el algoritmo de cifrado a un algoritmo de descifrado. Todo lo que se necesita es el ID de usuario (consulte la Figura 13) proporcionado por el ransomware y el archivo APK del ransomware en caso de que sus autores cambien el valor clave codificado. Hasta ahora, hemos visto el mismo valor en todas las muestras del ransomware Android / Filecoder.C ".
Fecha actualización el 2021-07-30. Fecha publicación el 2019-07-30. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers Version movil