Matrix ransomware con extension FOX renombra los archivos cifrados

Se ha descubierto una nueva variante del Matrix Ransomware que renombra los archivos cifrados y luego agrega la extensión .FOX al nombre del archivo

De particular interés, este ransomware podría tener el proceso más exhaustivo para asegurarse de que todos y cada uno de los archivos no estén abiertos y disponibles para el cifrado. Afortunadamente, esto también hace que su proceso de cifrado sea muy lento, por lo que podría ser más fácil de detectar.

Esta variante de ransomware fue descubierta por primera vez por el investigador de seguridad MalwareHunterTeam y se instala a través de computadoras que ejecutan Servicios de Escritorio Remoto y que están abiertamente conectadas a Internet. Los atacantes escanean rangos de direcciones IP para encontrar servicios RDP abiertos y luego fuerza bruta la contraseña.

Una vez que tengan acceso a la computadora, instalarán manualmente el ransomware que muestra varias ventanas de la consola que muestran el progreso del cifrado de la computadora.

Lamentablemente, en este momento, las variantes de Matrix Ransomware no se pueden descifrar de forma gratuita. Si tiene alguna pregunta o desea discutir este ransomware, puede utilizar nuestro tema dedicado de Soporte de Matrix Ransomware.

Cómo la variante de Fox Ransomware encripta una computadora

Fox Ransomware es una variante de Matrix Ransomware y, al igual que su predecesor, es muy hablador, ya que se comunica mucho con su servidor Command & Control y también muestra consolas que proporcionan actualizaciones de estado en el proceso de cifrado.

Cuando se ejecuta la variante de Fox Ransomware, se conecta a un servidor de Command & Control y comienza a registrar varias etapas del proceso de encriptación. Durante el proceso de cifrado, se comunicará a menudo con el C2 para proporcionar actualizaciones de estado.

Agregar el registro de la Fase de Inicio a C2

También se abrirán dos ventanas de la consola que muestran el progreso actual del cifrado para que los atacantes puedan controlarlo. La primera ventana muestra un estado de actualización del proceso de encriptación, mientras que la otra ventana de consola muestra las direcciones de red que fueron analizadas para compartir abiertamente.

El ransomware ahora arrojará un archivo por lotes que intenta cerrar de manera exhaustiva todos los identificadores de archivos abiertos del archivo que está a punto de encriptar. Lo hace eliminando primero todos los atributos de los archivos, cambiando los permisos, asumiendo la propiedad y, finalmente, utilizando una versión renombrada del programa Handle.exe de Sysinternals para cerrar todos los identificadores abiertos del archivo.

Para cada archivo cifrado, primero ejecutará el archivo por lotes anterior y luego cifrará el archivo. Después de encriptar el archivo, lo cambiará de nombre y anexará la extensión .FOX al nombre del archivo cifrado. Por ejemplo, un archivo será encriptado y renombrado a [PabFox@protonmail.com] .cAE5V4FC-wwWa0jxY.FOX.

En cada carpeta que se crea un archivo, se creará una nota de rescate llamada # FOX_README # .rtf que contiene instrucciones sobre cómo ponerse en contacto con el atacante para obtener instrucciones de pago. Los correos electrónicos que figuran en esta nota de rescate son PabFox@protonmail.com, FoxHelp@cock.li y FoxHelp@tutanota.com. También contiene una identificación de Bitmessage para contactar para información también.

El fondo del escritorio también se cambiará a una versión condensada de la nota de rescate.

Al final del proceso de cifrado, se lanzará un archivo .vbs llamado aleatorio en la carpeta% AppData% que se utiliza para registrar una tarea programada llamada DSHCA. Esta tarea de cronograma se utiliza para ejecutar un archivo de proceso por lotes con privilegios administrativos que realizarán una limpieza de la computadora y deshabilitarán varias funciones de reparación.

Este archivo por lotes también se encuentra en la carpeta% AppData% y eliminará las copias de volúmenes ocultos utilizando WMIC, powershell y vssadmin, eliminará el inicio de recuperación de Windows y eliminará el archivo VBS, la tarea programada y el mismo.

La buena noticia es que, dado que el ransomware intenta tanto cerrar todos los identificadores de archivos asociados con el archivo que intenta encriptar, el proceso de encriptación es muy lento. Esto permite que un usuario descubra potencialmente que está infectado antes de que el proceso se complete por completo.

Como se dijo anteriormente, sin embargo, los archivos cifrados con este ransomware son seguros y no se pueden descifrar de forma gratuita en este momento.

Semrush sigue a tu competencia


Fecha actualización el 2018-08-20. Fecha publicación el 2018-08-20. Categoria: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
ransomware