Global Preloader
Noticia Internacional
(08/May/2018) Nuevo ransomware pasa inadvertido para los antivirus utilizando una técnica única

Nuevo ransomware pasa inadvertido para los antivirus utilizando una técnica única

Se ha encontrado un ransomware que utiliza una técnica muy específica para evitar la detección por parte de herramientas especializadas.

Karspersky Lab explica en su documentación que este ransomware explota una función de Windows llamada Process Doppelgänging, la cual se basa en el seguimiento de transacciones del sistema de archivos NTFS. Es decir, se crea un proceso malicioso en el equipo de la víctima, reemplazando la memoria de un proceso legítimo, para así engañar al sistema de monitorización de procesos y a las herramientas antivirus.

Además esta investigación hace mención que se trata de una variante de SynAck, aseguran está siendo usado contra usuarios de EEUU, Kuawait, Alemania e Irán.

SynAck se detectó por primera vez en septiembre del año pasado, y utilizaba varias técnicas de ofuscación complejas para evitar la ingeniería inversa. La pecularidad de esta amenza es que a los usuarios de Rusia, Bielorrusia, Ucrania, Georgia y algunos otros, no les supone riesgo alguno porque está diseñado para no afectarles.

Esto es posible porque SynAck analiza la configuración de teclado instalada en el PC del usuario, y la compara con la lista propia de los archivos del malware. En el caso de encontrar coincidencias, algo que ocurre en países como los anteriormente mencionados, sencillamente se lanza una instrucción que evita el cifrado de los archivos del usuario. Por otro lado, también ha sido diseñado para controlar cuál es el directorio en que se va a ejecutar. Si no está donde debe, tampoco lanza el ataque de cifrado contra los archivos del usuario; en caso positivo, usa el algoritmo AES-256-ECB.