Nueva variante del ransomware CryptoMix.

5/01/2021

Nueva variante del ransomware CryptoMix.

Se descubrieron ataques con una nueva variante del ransomware CryptoMix. Como casi cualquier otro ransomware, este malware encripta los archivos y exige un pago para liberarlos, sin embargo, este ataque tiene una particularidad: En primer lugar, intenta deshabilitar Windows Defender, también intenta eliminar Microsoft Security Essentials y cualquier otro programa Anti-Ransomware independiente.

Otra peculiaridad es que el archivo ejecutable está firmado con certificado, lo que complica el trabajo de los programas antivirus ya que no lo identifican con facilidad. Según el análisis realizado por el investigador de seguridad Vitali Kremez, se ejecuta un pequeño programa antes del cifrado, deshabilitando una variedad de software de seguridad incluido Windows Defender.
Se hace para evitar que los algoritmos de comportamiento detecten el cifrado del archivo y bloqueen el ransomware.
Las infecciones de ransomware tienen como objetivo cifrar sus archivos mediante un algoritmo de cifrado, que puede ser muy difícil de descifrar. Sin embargo, existen alternativas que pueden ser muy útiles para recuperar sus datos, recuerde que pagar no es una buena idea y no garantiza la recuperación de sus archivos.

Para deshabilitar Windows Defender, el malware configura valores de registro que deshabilitan la supervisión del comportamiento, la protección en tiempo real, la carga de muestras a Microsoft, las detecciones en la nube, las detecciones antispyware y la protección contra manipulaciones. Este ataque se dirige sobre todo a computadoras más antiguas al desinstalar Microsoft Security Essentials.
Los ataques ocurren principalmente a través de ingeniería social, enviando un correo electrónico con un documento de Office adjunto, que contiene funciones de macro maliciosas. Después de descargar y abrir el documento, ejecuta un .archivo que dispara el ataque. Si tiene la protección contra manipulaciones habilitada en Windows 10, estas configuraciones simplemente se restablecerán a su configuración predeterminada y Windows Defender no se deshabilitará.

Mientras que CryptoMix es un ransomware relativamente antiguo y conocido, esta nueva variante tiene algunas particularidades que ponen en evidencia que el malware es cada vez más sofisticado. En este caso, además de intentar deshabilitar programas específicos para cumplir su objetivo, viene con un certificado firmado que puede engañar a las soluciones de seguridad para que confíen en el binario y lo dejen pasar. Este certificado inicial fue revocado, pero siempre hay posibilidades de que otro venga con uno nuevo.

La cultura de la Ciberseguridad en el lugar de trabajo y el hogar es la mejor manera de evitar que sucedan cosas malas. Sin embargo, siempre ocurrirá algo mal, algo que no esté en nuestras manos, pero lo que ciertamente podemos hacer es tener al menos una copia de seguridad en un dispositivo externo; esto reducirá significativamente el impacto si recibe un rescate.

Sharing is caring!

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
11/06/2021

Dispositivos domésticos siguen siendo vulnerables a WannaCry.

WannaCry es un ejemplo de ransomware de cifrado, un tipo de software [leer más]

19/05/2021

WhatsApp Pink: la aplicación maliciosa que sigue cobrando víctimas.

Recientemente se alertaba de la existencia de una app llamada WhatsApp Pink, una [leer más]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Todos los Derechos Reservados Siayec 2020 | Web by Dao Comunicación