Nuevo KeyPass Ransomware ataca activamente alrededor del mundo para cifrar los archivos de la víctima


El recién surgido KeyPass ransomware se está extendiendo activamente por todo el mundo para encriptar los archivos del sistema y demandar el rescate a las víctimas.

En comparación con el año pasado, los brotes actuales de ransomware son muy inferiores, sin embargo, los nuevos ataques de ransomware se siguen incrementando y los autores de malware siempre intentan encontrar el nuevo método para infiltrarse en el sistema y obtener grandes ganancias.


Carga principal caída a través de un troyano que está escrita en C ++ y compilada en MS Visual Studio y que los datos compilados se han descubierto desde el encabezado PE.

A diferencia de otros ataques de ransomware, los autores de malware agregaron nuevos futuros que les permiten tomar el "control manual" por defecto.
                              GUI of the trojan

Esta capacidad puede ser una señal de que los hackers detrás del troyano quieren utilizarla en ataques manuales.

Infección KeyPass Ransomware

Una etapa inicial de propagación comienza desde los instaladores falsos que descargan el módulo ransomware.

una vez que la víctima hace clic en los archivos maliciosos y los abre, el troyano copia su archivo ejecutable en% LocalAppData% y se elimina de la ubicación original, también omite algunos de los directorios.


Según Kaspersky Investigadores, los desarrolladores de este troyano implementaron un esquema muy simplista. El malware utiliza el algoritmo simétrico AES-256 en modo CFB con cero IV y la misma clave de 32 bytes para todos los archivos. El troyano cifra un máximo de 0x500000 bytes (~ 5 MB) de datos al comienzo de cada archivo.
KeyPass se conecta a su comando y control (C & C) para recibir la clave de cifrado y los datos se transfieren a través de HTTP simple.

Después de la ejecución completa, encripta todos los archivos del disco y agrega la extensión adicional ".KEYPASS" que incluye imágenes, videos, documentos, etc.

Más tarde muestra las notas de rescate que contienen la descripción detallada sobre el proceso de descifrado del archivo de infección
                                                           Ransomware notes

Los atacantes instruyen a las víctimas a ponerse en contacto a través de una identificación de correo electrónico particular (keypass@bitmessage.ch) junto con la identificación personal de las víctimas y demandan $ 300 por proporcionar la clave de descifrado.


Publicar un comentario

0 Comentarios