Nueva versión del ransomware HolyCrypt

Como todos los ransomware, HolyCrypt infecta a sus víctimas cifrando sus archivos, utilizando una contraseña estática y pidiendo un rescate a cambio de la devolución de toda la información robada.

Ahora, los piratas informáticos no sólo se conforman con eso, sino que van más allá y buscan sorprendernos tanto a los usuarios como a los investigadores de seguridad. Así lo han hecho con la nueva variante de este ransomware que además del cifrado, está basado en el lenguaje de programación Phyton, algo nada habitual en este tipo de malware. En el pasado hemos llegado a ver ransomware escrito es JavaScript, el lenguaje web, pero ahora la principal característica es que está escrita completamente en Python.

Propagación

Los ciberdelincuentes han utilizado la herramienta PyInstaller para crear el binario que se distribuye a las víctimas.

El modo de distribución se está llevando a cabo mediante falsos archivos o documentos PDF utilizando la clásica doble extensión de archivo, intentando ocultar el ejecutable como PDF con nombres como por ejemplo ReportXYZ.pdf.exe.

ransomware - text

Periodo de pruebas

HolyCrypt aún está en fase de pruebas y los expertos de seguridad están analizando su código de comportamiento y hasta el momento se han encontrado varios elementos curiosos. Uno de ellos es que para el cifrado AES, utiliza una clave estética “test”. Además, sólo es capaz de cifrar 20 tipos de archivos diferentes, a diferencia de los más de 100 formatos diferentes capaces de cifrar el ransomware actual.

Otro dato, es que cuando el ransomware cifra un archivo, añade al principio del nombre del archivo “encrypted”. También, cuando el malware termina de cifrar todos los datos, cambia el fondo de escritorio por la ventana de rescate la cual aún está incompleta, ya que no facilita la ID del ordenador, la cuenta de pago y la URL a la que tenemos que acceder desde la red Tor es falsa.

Mejoras

El nuevo HolyCrypt tiene mucho que mejorar para estar a la altura de otras amenazas. Algunas de las mejoras a llevar a cabo son:

Cambiar la clave de cifrado por una generada localmente.

Habilitar la web de pago.

Añadir más formatos a la lista de archivos a cifrar.

Cambiar tanto el nombre como las extensiones de los archivos secuestrados.

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.