Un nuevo ransomware ha sido descubierto por MalwareHunterTeam que se basa fuera de la familia ransomware InfiniteTear de los cuales BlackRuby y zenis son miembros
Cuando este ransomware infecta una computadora, cifrará los archivos, codificará los nombres de los archivos y agregará la extensión .WHITEROSE.
Actualmente no se sabe con certeza cómo se está distribuyendo este ransomware, pero los informes indican que se está instalando manualmente pirateando los servicios de Escritorio remoto. Además, según los envíos a ID-Ransomware , el desarrollador de este ransomware parece estar apuntando a países europeos, con un fuerte enfoque en España.
La buena noticia es que este ransomware parece descifrable por Michael Gillespie. Por lo tanto, si se infecta con WhiteRose, no pague el rescate y, en su lugar, publique una solicitud de ayuda en nuestro tema Soporte y Ayuda de WhiteRose . También puede recibir ayuda a través de Dr.Web, pero es un servicio pago.
La nota de rescate de WhiteRose se lee como un poema
Tanto BlackRuby Ransomware como ahora WhiteRose tienen notas de rescate que se leen más como una tarea de un curso de escritura creativa que como una demanda de rescate.
En la nota de rescate de WhiteRose, el desarrollador cuenta la historia de un hacker solitario y aislado rodeado de rosas blancas en un jardín.
Continúan diciendo que quieren compartir sus rosas blancas con el mundo encriptando su computadora y transformándola en una flor.
Cómo encripta WhiteRose una computadora
Cuando se inicia WhiteRose, comprueba si el archivo C:\Perfect.sys existe. Si existe, saldrá del programa, de lo contrario creará el archivo.
El ransomware escaneará todas las unidades de la computadora y buscará archivos que coincidan con ciertas extensiones de archivos y luego las encriptará. Las extensiones de archivo apuntadas por WhiteRose son:
.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, 3dm, onetoc2,
Al buscar archivos para cifrar, no encriptará ninguno ubicado en las siguientes carpetas: Windows, Program Files, $Recycle.Bin, microsoft
Cuando se encripta un archivo, se lo cambiará por un nombre aleatorio con la extensión añadida _ENCRYPTED_BY.WHITEROSE. Así que test.jpg sería encriptado y renombrado a algo así como 6zyaqFcPJaeJATyA_ENCRYPTED_BY.WHITEROSE.
En cada carpeta escaneada, creará una nota de rescate llamada HOW-TO-RECOVERY-FILES.TXT que contiene una imagen ASCII de una rosa, la historia "interesante", y luego instrucciones sobre cómo pagar el rescate.
Al final, WhiteRose ejecutará los siguientes comandos para deshabilitar Windows Startup Repair, eliminar copias de volúmenes ocultos y borrar registros de eventos.
cmd.exe /C vssadmin.exe delete shadows /all /Quietcmd.exe /C WMIC.exe shadowcopy deletecmd.exe /C Bcdedit.exe /set {default} recoveryenabled nocmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailurescmd.exe /C wevtutil.exe cl Applicationcmd.exe /C wevtutil.exe cl Securitycmd.exe /C wevtutil.exe cl System
Finalmente, WhiteRose se eliminará del sistema.
Fecha actualización el 2021-04-06. Fecha publicación el 2018-04-06. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer