Un proyecto de código abierto ransomware subido en GitHub en mayo del 2016 como una prueba de concepto, ha dado lugar a 3 nuevas familias ransomware que están infectando a los usuarios en la vida real.
El proyecto, que todavía está disponible para su descarga, contiene un archivo ZIP, con el código fuente del ransomware, y un archivo README informando de las capacidades de CryptoWire.Según su autor, el ransomware esta escrito en el lenguaje de programacion AutoIt secuencias de comandos y cerraduras almacenados en unidades de red, recursos compartidos de red, unidades USB, discos externos, discos internos y aplicaciones de almacenamiento en la nube que se ejecutan en la máquina, como onedrive, Dropbox, Google Drive y vapor.
CryptoWire utiliza el algoritmo AES-256 para las operaciones de cifrado, que cifrar todos los archivos más pequeños que 30 MB (límite ajustable). El archivo README podría haber sido anticuado, como el código fuente del ransomware incluye filtros de extensión de archivo.
El README afirma que el proceso de cifrado realiza una copia de los archivos específicos, encripta la copia, sobrescribe el archivo original diez veces, y luego se elimina de forma permanente.
Después de que termine el proceso de cifrado, CryptoWire eliminará todas las copias instantáneas de volumen, y sobrescribir el contenido de los RecycleBin diez veces y eliminarlo de forma permanente.
Cuando se muestra la nota de rescate, CryptoWire comprobará si la diana infectada es parte de un dominio y multiplica la petición de rescate por 10 (valor ajustable).
El autor del CryptoWire dijo que envió el ransomware sin un panel de back-end "para evitar patinazos de abusar de ella."
El primer CryptoWire se detectó a finales de octubre por Google Data analista de malware Karsten Hahn , utilizando el mismo nombre: CryptoWire. Esta versión parece haber estado en desarrollo, como un botón crucial para el proceso de descifrado le faltaba su interfaz.
Un mes más tarde, el investigador de seguridad S! Ri descubrió el ransomware Lomix.
Hoy en día, el mismo Karsten Hahn ha llegado a través de otra variante CryptoWire que se conoce con el nombre de UltraLocker y difunde una campaña de spam entrega de archivos de Word maliciosos.
El problema de código abierto y la llamada ransomware "educativa" se ha discutido en los últimos tiempos. Código abierto anteriores familias ransomware incluyen Tear Oculto, EDA2, CryptoTrooper, y Heimdall.
En todos los casos, los autores de estos proyectos han ocultado de cualquier responsabilidad y dañar su código habría causado simplemente por el uso de palabras como "educativo" y "prueba de concepto", sin darse cuenta de que los codificadores de malware de la vida real no les importa.
Fecha actualización el 2017-09-30. Fecha publicación el 2016-12-10. Categoría: Malware. Autor: Oscar olg Mapa del sitio