La red de bots Kelihos ha estado ocupado en la difusión del ransomware conocido como Troldesh que ahora se agrega la extensión .no_more_ransom al final de cada archivo cifrado.
El proyecto NoMoreRansom ha publicado un descifrador libre durante el verano que pueden ayudar a las víctimas desbloquear archivos cifrados por esta amenaza.
Ransomware Troldesh utiliza archivos JS por primera vez
Esta campaña más reciente utiliza la botnet Kelihos para enviar los mensajes de spam que se propagan a esta amenaza. Para esta campaña en particular, de acuerdo con Arċh Arora, analista de malware y Ph.D. investigador de la Universidad de Alabama en Birmingham, ladrones utiliza correos electrónicos que contenían un enlace downlaod malicioso.El enlace de descarga un archivo comprimido JavaScript (JS) o un documento de Word. Si se ejecuta, el archivo JS podría descargar e instalar una versión del ransomware sombra, mientras que el documento de Word sería utilizar macros para la misma cosa.
Los investigadores señalaron que esta fue la primera vez que han visto los archivos de uso Shade JS para infectar a las víctimas. La mayor parte de este tipo de spam disfrazado de crédito y mensajes de correo electrónico relacionadas con la banca.
El ransomware utiliza una dirección de Gmail para ponerse en contacto con los ladrones, sino también una página web en la web oscura para el manejo de pagos de rescate.
Ransomware también descargado e instala Infostealer Pony
En algunas infecciones, Arora dice que Shade también se instala el malware Pony, un Infostealer que se pueden encontrar, extraer y exfiltrate datos, tales como contraseñas del navegador, detalles del sistema, y el historial de navegación.Esta no es la primera vez cuando se haya descargado el malware Troldesh. En agosto, el ransomware estaba descargando el troyano de acceso remoto Teamspy (RAT).
El RAT se utiliza para detectar si se infectan un objetivo valioso y robaron valiosos datos desde el PC local o de red de la compañía.
Kelihos botnet se convierte en jugador activo en la distribución de ransomware
El botnet Kelihos también se observó en la entrega de correo no deseado que data de los usuarios polacos y spammule para los usuarios de Estados Unidos. El correo no deseado mule de dinero era un mensaje hábilmente diseñado que trató de engañar a los usuarios de Estados Unidos en la retransmisión de paquetes misteriosos enviados desde China, muy probablemente parte de una operación criminal.
La botnet Kelihos, también conocido como Waledac, se ha convertido en una de las principales fuentes de correo no deseado ransomware en los últimos meses.
La botnet fue utilizado más recientemente para entregar las familias ransomware tales como incendios forestales, Hades Locker, CryptFIle2 (o CryptMix) y MarsJoke (o JokeFromMars). La botnet también difunde troyanos bancarios como Panda Zeus, Nymain y Kronos.
Fecha actualización el 2021-12-5. Fecha publicación el 2016-12-5. Categoría: Malware. Autor: Oscar olg Mapa del sitio