[Aviso] Nueva característica de Evil Ransomware: Limpiador de disco si no paga

 Stu Sjouwerman



   


Hay una nueva variedad de ransomware como servicio (RaaS) llamada LokiLocker, advierten los investigadores de Blackberry. El malware utiliza un  código poco común e incluye un componente de limpieza de archivos que los atacantes pueden implementar si sus víctimas no pagan. "No debe confundirse con una familia de ransomware más antigua llamada Locky, que fue notoria en 2016, o LokiBot, que es un ladrón de información. 

"LokiLocker es una familia de ransomware relativamente nueva dirigida a víctimas de habla inglesa y PC con Windows. La amenaza se vio por primera vez en la naturaleza a mediados de agosto de 2021", dijeron investigadores del Equipo de Investigación e Inteligencia de BlackBerry en un nuevo informe .  Los investigadores de BlackBerry estiman que LokiLocker actualmente tiene alrededor de 30 afiliados. 

Capacidades técnicas de LokiLocker

Cuando se ejecuta por primera vez en una computadora, LokiLocker se copia a sí mismo como %ProgramData%/winlogon.exe y luego configura la persistencia mediante una tarea programada y entradas de registro de inicio. El malware tiene un archivo de configuración que los afiliados pueden personalizar y que se puede usar para indicarle al malware que:

  • Mostrar una pantalla falsa de actualización de Windows
  • Elimine procesos específicos y detenga servicios específicos del sistema
  • Deshabilitar el Administrador de tareas de Windows
  • Elimine las copias de seguridad del sistema y las instantáneas de volumen
  • Deshabilite la recuperación de errores de Windows y el Firewall de Windows
  • Eliminar puntos de restauración del sistema
  • Vaciar la papelera de reciclaje
    Deshabilitar Windows Defender
  • Cambiar el mensaje que se muestra en la pantalla de inicio de sesión del usuario

"En el momento de escribir esto, no existe una herramienta gratuita para descifrar archivos cifrados por LokiLocker", dijeron los investigadores de BlackBerry. "Si ya está infectado con el ransomware LokiLocker, la recomendación de la mayoría de las autoridades de seguridad oficiales, como el FBI, es no pagar el rescate".

Hay opciones para cifrar solo la unidad C u omitir la unidad C. El malware también tiene una función de escaneo de red, que se puede usar para detectar y cifrar recursos compartidos de red, pero el uso de esta función también es configurable.

Finalmente, LokiLocker contiene un módulo de limpieza que intentará eliminar archivos de todas las unidades locales y luego sobrescribirá el Registro de inicio maestro (MBR) del disco duro, lo que hará que el sistema no pueda iniciarse en el sistema operativo. 

En su lugar, el usuario verá un mensaje que dice: "No nos pagó, por lo que eliminamos todos sus archivos". La función de limpieza se activará automáticamente en función de un temporizador configurado en 30 días pero configurable.

No está claro quiénes son los autores de LokiLocker, pero los investigadores de BlackBerry notaron que las cadenas de depuración encontradas en el malware están escritas en inglés sin errores ortográficos importantes que a veces son comunes entre los desarrolladores de malware rusos o chinos. En cambio, hay algunos vínculos potenciales con Irán, pero estos podrían plantarse para despistar a los investigadores de malware.


¡Protégete contra estas amenazas!

Conoce más

   


Comentarios

Entradas populares de este blog

Omnicanalidad e IA: Tendencias centrales para el ecommerce en 2024

Los usuarios de Apple se convierten en los últimos objetivos de los ataques MFA

¿Que pasaría si se perdiera toda su información financiera?