Nuevo virus decide si eres candidato para minar o para Ransomware



Investigadores de Seguridad han descubierto una pieza de código que al infectar el sistema determina si tu equipo es un candidato a realizar criptominado o ser encriptado por un ransomware, dependiendo de la configuraciones del sistema.

Como referencia, el ransomware es un tipo de malware que secuestra tu información de manera que tengas que pagar por ella para poder acceder a esta nuevamente. El Criptominado de divisas electrónica, utiliza la CPU o GPU  de tu equipo para hacer que otra persona gane dinero a cuesta del uso de tu dispositivo. Ambos de por si son amenazas que pueden traerte mas de un dolor de cabeza, el mas visible es el Ransomware ya que este malware cifra la información haciendo que no puedas acceder a esta, pero el criptominado hace que tu equipo se vuelva mas lento y que los procesos de CPU se utilicen en procesos que no te son útiles.

Los investigadores de Seguridad de Kaspersky han descubierto una variante del Ransomware Rakhni, el cual ahora tiene la capacidad de realizar CriptoMinado.

Escrito en lenguaje de programación Delphi, el malware Rakhni se está diseminando usando correos de suplantación de identidad phishing con un archivo MS Word en el archivo adjunto, que si se abre, le pide a la víctima que guarde el documento y permita la edición.



El documento incluye un ícono PDF, que si hace clic, inicia un ejecutable malicioso en la computadora de la víctima e inmediatamente muestra un cuadro de mensaje de error falso al ejecutarlo, engañando a las víctimas para que piensen que falta un archivo del sistema para abrir el documento.

Sin embargo, en el fondo, el malware realiza muchas comprobaciones anti-VM y anti-sandbox para decidir si podría infectar el sistema sin ser atrapado. Si se cumplen todas las condiciones, el malware realiza más comprobaciones para decidir la carga final de infección, es decir, ransomware o minero.

Instala Ransomware: Si el equipo objetivo tiene una carpeta llamada Bitcoin en la seccion AppData


Antes de cifrar los archivos con RSA-1024, el malware termina todos los procesos que empaten con una lista predefinida, y posterior a eso muestra un archivo de texto.

Instala un minador: Si el equipo no posee una carpeta llamada BitCoin, y la maquina tiene mas de dos procesos lógicos.


Si el sistema esta infectado con un minero, este use Minergate para minar monero (XMR), Monero Original (XMO) y DashCoin (DSH) para minar en background,


Además de esto, el malware usa la utilidad CertMgr.exe para instalar certificados raíz falsos que dicen haber sido emitidos por Microsoft Corporation y Adobe Systems Incorporated en un intento de disfrazar al minero como un proceso confiable.

Se activa como Gusano: Si no existe la carpeta y solo hay un único proceso lógico el malware realiza copias de si mismo y se copia en recursos compartidos.


Independientemente de qué infección se elija, el malware realiza una comprobación si se inicia uno de los procesos antivirus listados. Si no se encuentra un proceso AV en el sistema, el malware ejecutará varios comandos cmd en un intento de desactivar Windows Defender.

Protección


El sitio pcahora.com, realizó un análisis de los mejores antivirus del momento, que te ayudará a poder decidir que opción podría servirte para poder proteger de virus y ransomware.

Fuente: https://thehackernews.com/