Ransomware de pylocky cifra mas de 100 extensiones de archivos
PyLocky ransomware ataca y ataca a varias organizaciones al evadir las soluciones de seguridad mediante su sofisticada funcionalidad de ataque y sus actividades siguen aumentando desde agosto pasado.
PyLocky apunta principalmente a los países europeos, particularmente a Francia, Alemania y a los que intentan comprometer las unidades de negocios para exigir el monto del rescate.
PyLocky ransomware escrito en Python y lleno de PyInstaller que ayuda a empaquetar la aplicación basada en python como un ejecutable independiente.
A diferencia de otros Ransomware, PyLocky contiene una capacidad de aprendizaje anti-máquina que hace que sea muy difícil para los análisis estáticos y muy desafiante para los investigadores en el análisis en profundidad.
Name sí mismo afirmó que este ransomware pertenece a Locky, que es uno de los malware más destructivos de la historia que ha comprometido varios sectores en todo el mundo, pero que no tiene ninguna relación con el Locky ransomware original.
Las notas de Pylocky Ransomware están en inglés, francés, coreano e italiano y también se dirigen a usuarios de habla coreana e italiana.
Proceso de infección de PyLocky Ransomware
La etapa inicial de infección comienza con una campaña de correo electrónico no deseado junto con adjuntos maliciosos que distribuye a las víctimas y les hace trampas para que hagan clic en el enlace utilizando técnicas de ingeniería social que eliminan a PyLocky. Una vez que haga clic en la URL, suelta un archivo ejecutable firmado ( Facture_23100.31.07.2018.exe ) que finalmente descarta el componente Malware que también contiene el ejecutable principal de ransomware (lockyfud.exe).
Después de completar su proceso de ejecución, PyLocky encripta más de 100 archivos de extensión que incluyen archivos de imagen, video, documento, sonido, programa, juego, base de datos y archivo, entre otros.
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp , .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd,. pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla , .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class , .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom,. sav, .tgz, .zip, .rar, .tar, .7z, .cbr,.deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent
una vez que se completa el proceso de encriptación, PyLocky se comunica con su servidor de comando y control y elimina las notas de rescate.
De acuerdo con Trend Micro , su capacidad anti-sandbox, PyLocky dormirá durante 999,999 segundos, o poco más de 11,5 días, si el tamaño total de la memoria visible del sistema afectado es de menos de 4GB. La rutina de cifrado de archivos se ejecuta si es mayor o igual que 4 GB.
Mientras tanto, el proceso de ejecución de PyLocky, también abusa de Windows Management Instrumentation (WMI) para verificar las propiedades del sistema afectadas junto con su futuro anti-sandbox.