Global Preloader
Vulnerabilidad
(11/May/2017) Ransomware RSAUtil distribuido a través de ataques RDP

Ransomware RSAUtil distribuido a través de ataques RDP

El ransomware RSAUtil está incluido en el paquete bajo el nombre de svchosts.exe. Analiza carpetas de un equipo, junto con unidades de red y recursos compartidos de red sin asignar, y cifra los archivos del usuario. También coloca una nota de rescate en cada carpeta de un archivo que ha sido encriptado. El malware no se dirige a una lista específica de los tipos de archivos para cifrar, lo que significa que muchos de los ejecutables en la máquina terminan siendo encriptados también.

RSAUtil está escrito en Delphi y agrega la extensión helppme@india.com.ID83994902 a los archivos cifrados, según el investigador de malware de Emsisoft xXToffeeXx. El malware también deja el archivo How_return_files.txt en cada carpeta, el cual es la nota de rescate.

Además del propio programa malicioso, el paquete de archivos maliciosos está enfocado a los servicios de escritorio remoto; se incluye una variedad de herramientas y un archivo de configuración destinado a determinar cómo se ejecuta el ransomware, según Lawrence Abrams de BleepingComputer.

El paquete está destinado a preparar la máquina para la instalación del ransomware RSAUtil. Un archivo CMD limpia rastros de cómo la máquina se ha visto comprometida en el registros de eventos; dos archivos evitan que el equipo pueda entrar en estado suspensión o hibernación, por lo que la conexión permanece activa; un archivo de imagen se utiliza como fondo de escritorio; y otro archivo se utiliza para configurar diversas opciones de servicios de escritorio remoto.

También hay un archivo de configuración del ransomware que realiza el proceso de cifrado, que contiene directrices que comprueban si el ordenador ha sido cifrado, que ID debe utilizar, qué correo electrónico usar, el nombre de la nota de rescate, la extensión del archivo encriptado, y la clave de cifrado pública a utilizar para cifrar archivos.

Al completar el proceso de cifrado, el malware muestra una pantalla de bloqueo informando a la víctima comunicarse con el autor de malware helppme@india.com o hepl111@aol.com para recibir información sobre cómo pagar el rescate. Una vez realizado el pago, la víctima recibe una clave de descifrado a la entrada en la pantalla de bloqueo y recuperar el acceso a los archivos.

Los archivos cifrados por RSAUtil no se pueden restaurar de forma gratuita por el momento. En cualquier caso, los usuarios se les recomienda abstenerse de pagar el rescate, ya que eso no garantiza que en realidad sería capaz de restaurar sus archivos. Mantener todos los datos de copia de seguridad puede resultar muy útil en caso de verse comprometido por ransomware.