Detectadas 17 variantes del ransomware conocido como 'STOP ransomware'
- Endpoint
Distribuidas a través de sitios de descarga de cracks y software pirata, como KMSPico, Cubase y Photoshop, estas variantes han infectado a miles de usuarios. El investigador Michael Gillespie ha publicado una herramienta que permite descifrar los ficheros cifrados.
|
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Desde el mes de diciembre se han distribuido hasta 17 variantes del ransomware ‘STOP ransomware’, que se ha convertido en una de las infecciones de ransomware más prolíficas que hemos visto en mucho tiempo. Todas ellas han sido distribuidas a través de sitios de descarga de cracks y software pirata como KMSPico, Cubase y Photoshop, entre otros.
Según Hispasec, las variantes distribuidas durante esta campaña de ransomware no incluyen cambios importantes en su código. Tan solo cambia la extensión utilizada para renombrar los ficheros cifrados, siendo djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djuvq, .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba y .adobe las extensiones de las muestras conocidas hasta la fecha.
Este ransomware utiliza Salsa20 como algoritmo de cifrado y una clave de 256 bits diferente para cada archivo. Para generar la clave de cifrado por cada fichero, usa una clave maestra que se obtiene realizando una petición al servidor de control, sin embargo, en caso de no poder realizar la conexión, usaría una clave maestra por defecto ya almacenada en el código.
Estas variantes del ransomware incluyen una peculiaridad que podría utilizarse para recuperar ciertos ficheros, y es que cifra únicamente los primeros 153.600 bytes del fichero. El investigador y analista de malware, Michael Gillespie, ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware, si bien aún no existe una herramienta que permita el descifrado de ficheros cifrados utilizando las claves proporcionadas por el servidor de control, puesto que los atacantes las cambian continuamente.
Cada una de las variantes utiliza un servidor de control diferente y estos servidores suelen estar activos durante un par de días, ya que mientras el servidor de control esté activo es posible obtener la clave de cifrado replicando la misma petición realizada por el malware.
