Cabecera-v2-web.jpg

PadCrypt, el primer ransomware con un chat de soporte técnico en directo


El ransomware es, probablemente, el tipo de malware más peligroso de los últimos años. Cuando este preocupante software malicioso infecta a los usuarios comienza a cifrar todos sus datos personales en el disco duro con una clave privada, la cual se enví­a a un servidor controlado por un pirata informático para, posteriormente, pedir el pago de un rescate a cambio de la clave con la recuperar los archivos, clave que, en muchas ocasiones ni siquiera termina de llegar, aunque se realice el pago, perdiendo así­ tanto el dinero como los archivos.

El número de variantes de ransomware es cada vez preocupantemente mayor. PadCrypt es un nuevo ransomware descubierto y registrado a lo largo de este fin de semana. Este ransomware se basa en el temido CryptoWall y, a grandes rasgos, funciona igual que cualquier otra herramienta maliciosa similar. Por el momento no está clara su forma de distribución, aunque, según parece, utiliza el correo electrónico para distribuir un archivo PDF malicioso que, al ejecutarlo, instala el ransomware en el equipo y lo ejecuta para empezar el cifrado de todos los datos y el borrado seguro de los datos originales para evitar su recuperación.

A diferencia de otros ransomware similares, PadCrypt ofrece a sus usuarios dos caracterí­sticas no vistas hasta ahora en este tipo de malware. La primera de ellas es una herramienta de desinstalación llamada "unistl.exe". Este fichero, por desgracia, no revierte los cambios, sino que simplemente elimina del ordenador todo el rastro del ransomware original, manteniendo los datos aún cifrados y, además, sin posibilidad de recuperarlos ya que también se elimina del sistema la herramienta que nos permite realizar el pago para recuperar los datos. No se sabe con certeza el por qué de este desinstalador, aunque los expertos de seguridad aseguran que se ha generado porque los piratas informáticos han utilizado alguna plantilla para el código que, al compilarlo, ha llamado a una función para la creación de este fichero.

La segunda de las caracterí­sticas únicas de PadCrypt es un chat de soporte técnico en directo. Desde él, las ví­ctimas pueden ponerse en contacto con los piratas informáticos de manera que estos puedan ayudarles a realizar el pago y recuperar los archivos.

padcrypt-ransomware-con-chat.jpg


Los datos de PadCrypt son irrecuperables, aunque se pague el rescate

Tal como aseguran los expertos de seguridad, el servidor de comando y control (C&C) de PadCrypt está caí­do, por lo que al abrir la herramienta de chat el programa nos devolverá un error y no podremos hablar directamente con los piratas informáticos. Por desgracia, esto no es lo peor. Al estar el servidor de control caí­do, aunque las ví­ctimas paguen por el rescate de los datos, la clave de cifrado nunca llegará al ordenador, perdiendo también el dinero que hemos pagado y quedando todos nuestros datos cifrados, irrecuperables.

Dos empresas de seguridad (abuse.ch y Bleeping Computer) están trabajando en poder detectar cualquier debilidad en este ransomware que permita a los usuarios recuperar los datos cifrados sin tener que pagar, sin embargo, a dí­a de hoy no existe ninguna, por lo que lo único que recomendamos es no pagar el supuesto rescate, evitando así­ perder también el dinero del mismo.


Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11