Nuestros compañeros de PandaLabs nos informan de la detección de una nueva variante de ransomware, un software malicioso que, al infectar nuestro equipo, da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota.

Funciona encriptando nuestros archivos y quitándonos el control de toda la información y datos almacenados.

Para desbloquearlo, el virus lanza una ventana emergente en la que nos pide el pago de un rescate. En este caso, han detectado esta variante como Trj/Crypdef.A. y así nos avisarán de que estamos infectados:

ransomware

¿Cómo funciona Trj/Crypdef.A. ?

  • Crea la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\(nombre de fichero)\DEBUG
  • Crea el directorio C:\ZeroLocker y se copia con el nombre ZeroRescue.exe
  • Crea la clave de registro en run para ejecutarse en cada reinicio:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “FileRescue” Data: C:\ZeroLocker\ZeroRescue.exe

  • Se conecta a las siguientes URLs:
    • hXXp://5.199.171.47/patriote/sansviolence
    • hXXp://5.199.171.47/zConfig/173812
    • hXXp://5.199.171.47/zImprimer/446305781-6Anf32MoZG805MwwG2lX-17xQqSvhHu3bEmYdmo1G1hwob1h6UFq3oe

¿Cómo evitar el Ransomware?

  • Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.
  • Tener instalado y actualizado un buen producto antivirus.
  • No abrir correos electrónicos o archivos con remitentes desconocidos.
  • Evitar navegar por páginas no seguras o con contenido no verificado.