{"id":1120,"date":"2018-12-11T16:09:44","date_gmt":"2018-12-11T16:09:44","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1120"},"modified":"2018-12-11T16:09:44","modified_gmt":"2018-12-11T16:09:44","slug":"nuevo-ransomware-se-difunde-rapidamente-en-china","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1120","title":{"rendered":"Nuevo ransomware se difunde r\u00e1pidamente en China."},"content":{"rendered":"

\n\t\"\"Un nuevo y característico ransomware<\/em> se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento.\n<\/p>\n

\n\t¿Por qué es diferente al resto de ransomwares<\/em> vistos?<\/strong>\n<\/p>\n

\n\tLo característico de este malware es que, a diferencia del resto de ransomwares <\/em>conocidos, no pide como rescate un pago en Bitcoin,<\/em> sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay<\/em>, la función de pago que ofrece la aplicación de mensajería más popular de China.\n<\/p>\n

<\/p>\n

\n\t¿Cómo funciona el ransomware<\/em>?
\n<\/h3>\n

\n\tPropagación:<\/strong>\n<\/p>\n

\n\tSegún los investigadores de Velvet Security,<\/em> los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.\n<\/p>\n

\n\tEl software modificado fue diseñado para inyectar el código del ransomware<\/em> en cada aplicación y producto de software compilado a través de él.\n<\/p>\n

\n\tEvasión de antivirus:<\/strong>\n<\/p>\n

\n\tPara evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.<\/em>\n<\/p>\n

\n\tRescate:<\/strong>\n<\/p>\n

\n\tUna vez cifrado, el ransomware<\/em> crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat<\/em> de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.<\/em>\n<\/p>\n

\n\tRobo de información y credenciales:<\/strong>\n<\/p>\n

\n\tUna vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.\n<\/p>\n

\n\tAdemás, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.\n<\/p>\n

\n\t¿Existen soluciones contra este malware?
\n<\/h3>\n

\n\tLos investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware<\/em> es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.\n<\/p>\n

\n\tRuta de la clave de cifrado:
\n\t% user% \\ AppData \\ Roaming \\ unname_1989 \\ dataFile \\ appCfg.cfg<\/em>\n<\/p>\n

\n\tCon está información, el equipo de seguridad de Velvet<\/em> ha lanzado una herramienta gratuita de descifrado de este <\/a>ransomware<\/em><\/a> que puede desbloquear fácilmente los archivos cifrados.\n<\/p>\n

\n\tMás información:<\/strong>\n<\/p>\n

\n\tInformación oficial:
\n\thttps:\/\/www.huorong.cn\/info\/1543934825174.html<\/a>\n<\/p>\n

\n\t <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Un nuevo y característico ransomware se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento. ¿Por qué es diferente al resto de ransomwares vistos? Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,6,13,14,15,21,40],"tags":[],"class_list":["post-1120","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-codigos-malignos","category-hackers","category-incidentes","category-informaciones","category-piratas-informaticos","category-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1120"}],"version-history":[{"count":1,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1120\/revisions"}],"predecessor-version":[{"id":1127,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1120\/revisions\/1127"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}