vxCrypter es el primer ransomware para eliminar archivos duplicados


Larry Abrams, de Bleepingcomputer, escribió: "El vxCrypter Ransomware podría ser la primera infección de ransomware que no solo cifra los datos de una víctima, sino que también ordena su computadora mediante la eliminación de archivos duplicados.

La semana pasada descubrí un nuevo ransomware llamado vxCrypter que actualmente estaba en desarrollo. Es un ransomware .NET y se basa en un ransomware anterior que nunca se terminó llamado vxLock.

Cuando probé por primera vez el ransomware, noté que había eliminado todos los archivos de una carpeta, excepto uno, que se ilustra en las imágenes a continuación. Como sabía que este ransomware aún estaba en desarrollo, asumí que era solo un error en la rutina de cifrado.


Durante el fin de semana, Michael Gillespie me dijo que esta eliminación de archivos fue intencional ya que el ransomware eliminaba archivos duplicados. Además, este fue el primer ransomware que Gillespie o yo hemos visto que realizó este comportamiento.

Al analizar el ransomware, Gillespie notó que el ransomware estaba manteniendo el seguimiento de los hashes SHA256 de cada archivo que estaba encriptado. Como el ransomware cifró otros archivos, si encontraba el mismo hash SHA256, eliminaría el archivo en lugar de descifrarlo.

No se sabe por qué el ransomware está haciendo esto de otra manera que no sea una forma posible de aumentar la velocidad de cifrado de una computadora. También ilustra cómo debemos mantenernos alertas a medida que los atacantes continúan evolucionando el malware para aumentar el rendimiento, provocar caos o simplemente hacer cosas sin ninguna razón obvia. Historia completa y más detalles técnicos en:  

https://www.bleepingcomputer.com/


Fuente: https://blog.knowbe4.com/ 
No olvides Compartir...
Siguenos en twitter: @disoftin



Publicar un comentario

0 Comentarios