 |
|
|
Un nuevo ransomware se está esparciendo rápidamente en China, infectando a más de 100.000 computadores en los últimos cuatro días, como resultado de un ataque de cadena de suministro.
A diferencia de otros tipos de ransomware este no pide un pago en bitcoin, sino que en la moneda local china, el Yuan.
Los atacantes solicitan el pago de 110 yuan (US$ 16) por el rescate de la información a través de WeChat Pay.
En contraste con los brotes de ransomware WannaCry y NotPetya, que causaron un caos mundial el año pasado, el nuevo ransomware chino se dirige exclusivamente a los usuarios chinos.
También incluye una capacidad adicional para robar las contraseñas de las cuentas de los usuarios de Alipay, NetEase 163, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang y sitios web de QQ.
Según la firma china de ciberseguridad y antivirus Velvet Security, los atacantes agregaron código malicioso al software de programación "EasyLanguage", utilizado por un gran número de desarrolladores de aplicaciones.
El software de programación maliciosamente modificado fue diseñado para inyectar código de ransomware en cada aplicación y producto de software compilado a través de él, otro ejemplo de un ataque de cadena de suministro de software para propagar el virus rápidamente.
Más de 100.000 usuarios chinos que instalaron cualquiera de las aplicaciones infectadas enumeradas anteriormente pusieron en peligro sus sistemas. Este ransomware cifra todos los archivos en un sistema infectado, excepto los archivos con extensiones gif, exe y tmp.
Los ciberdelincuentes rubricaron su código de malware con una firma digital confiable de Tencent Technologies y evitan encriptar los datos en algunos directorios específicos, como "Juegos Tencent, League of Legends, tmp, rtl y programa", para defenderse de los programas antivirus
Una vez cifrado, el ransomware saca una nota y les pide a los usuarios que paguen 110 yuanes a la cuenta WeChat de los atacantes en un plazo de tres días para recibir la clave de descifrado.
Si no se paga a tiempo, el malware amenaza con eliminar automáticamente la clave de descifrado de su servidor remoto de comando y control.
El ransomware también roba silenciosamente la credencial de inicio de sesión de los sitios web chinos populares y las cuentas de redes sociales y los envía a un servidor remoto. Asimismo, recopila información del sistema, incluido el modelo de CPU, la resolución de pantalla, la información de red y la lista de software instalado.
El equipo de seguridad de Velvet creó una herramienta gratuita de descifrado de ransomware que puede desbloquear fácilmente archivos cifrados para las víctimas sin tener que pagar ningún rescate, consigna Seguridad y Firewall.
|
