Global Preloader
Noticia Internacional
(20/Apr/2017) El ransomware Karmen elimina el descifrado si detecta un software de análisis

El ransomware Karmen elimina el descifrado si detecta un software de análisis

Karmen Ransomware elimina el componente del descifrador cuando detecta un entorno de Sandbox o un software de análisis

Un reciente descubrimiento del ransomware Hidden Tear se vende en los foros subterráneos como un Ransomware-as-a-Service (RaaS), con un precio de sólo $ 175, los investigadores de Recorded Future revelan.

Bajo el nombre de Karmen , el malware parece haber existido desde diciembre de 2016, cuando se registraron incidentes en Alemania y Estados Unidos. Sin embargo, la amenaza comenzó a ser anunciada en foros subterráneos sólo en marzo.

Después de examinar de cerca el malware, los investigadores de seguridad de Recorded Future descubrieron que se deriva del ransomware de código abierto de Hidden Tear. También descubrieron que Karmen estaba utilizando el protocolo de encriptación AES-256 para el cifrado de archivos de destino en la máquina local.

Al igual que cualquier otro ransomware, la amenaza muestra una nota de rescate con instrucciones para que la víctima pague una suma específica de dinero para obtener la clave de descifrado. Sin embargo, a diferencia de otras amenazas similares, el malware elimina automáticamente el descifrador al detectar un entorno de sandbox o un software de análisis.

Wannabe-criminales que compran el ransomware se proporcionan la opción de cambiar la configuración de varios cortesía de un panel de control que no requiere conocimientos técnicos avanzados para operar. También pueden rastrear sistemas infectados a través de una página "Clientes". Un cuadro de mandos ofrece información como el número de máquinas infectadas, los ingresos obtenidos y las actualizaciones disponibles para el malware.

Karmen es una pieza de ransomware multi-hilo y multi-lengua que soporta .NET 4.0 y versiones más recientes, cuenta con un panel de administración adaptable, dicen los investigadores. El malware puede cifrar todos los discos y archivos, elimina automáticamente el cargador y detección de sandbox, depurador y virtualización. Karmen puede borrarse después de pagar el rescate, pero también elimina el descifrador si detecta que está siendo analizado.

La amenaza se vende en dos versiones: Light y Full. El primero sólo incluye la ofuscación y el autocargador, mientras que el último también contiene las capacidades de detección del anti-análisis. Aunque depende de .NET, el malware también requiere PHP 5.6 y MySQL.