El hack utiliza un cifrado AES para bloquear los archivos y posteriormente exigir un pago.
El investigador de malware Michael Gillespie ha descubierto este ataque de ransomware que se “disfraza” como una aplicación de Pokémon GO para Windows.
El ransomware, que parece dirigirse a usuarios de habla árabe, cifra los archivos, en particular, de Microsoft Office haciéndolos inútiles a menos que la víctima pague al hacker para desbloquearlos.
Después del iniciado el ataque, el ransomware envía el siguiente mensaje:
“Sus archivos han sido cifrados, la decodificación Falaksa Mobilis siga la siguiente dirección me.blackhat20152015@mt2015.com y gracias de antemano por su generosidad”,
escrito en árabe.
“Con una vista más de cerca, es evidente que este desarrollador ha invertido tiempo extra para incluir características que no se encuentran en otras variantes de ransomware”, escribió Lawrence Abrams para Bleeping Computer.
El ransomware crea una cuenta de usuario llamada Hack3r, añadiéndole privilegios de administrador para el equipo. Sin embargo, esta cuenta está oculta, por lo que el usuario no puede verlo en la lista de administradores.
El ransomware se propaga a sí mismo mediante la copia del archivo ejecutable para todas las unidades extraíbles. Cada vez que una unidad USB está conectada al ordenador, el ransomware se activa y hace una copia de sí mismo en la raíz de cualquier otro disco fijo.
Abrams explica que es probable que la persona detrás del ransomware todavía está desarrollando la herramienta, ya que no sólo están utilizando una clave estática AES de 123vivalalgerie (también sugiere que el hacker es Argelia), sino que el servidor de comando y control codificado (C2), que utliza el hacker, es una dirección IP que se asigna sólo para uso privado.
► PokemonGo Ransomware installs Backdoor Account and Spreads to other Drives