Recientemente hemos descubierto lo que parece ser una nueva variante de ransomware. El correo incluye un archivo de nombre “Transferencia devuelta pago erróneo” y extensión .cmd que en realidad esconde un ejecutable.
Al ejecutar el archivo se muestra la siguiente notificación:
Un error en el archivo y nada más. No pasa nada, ¿no? En realidad sí. Lo que ha sucedido es que el malware ha creado una carpeta en segundo plano (C:\xwintmp) y está descargando y ejecutando una serie de archivos.
En concreto, crea los siguientes 5 archivos:
- chuingamshik -> Archivo que contiene la palabra “chuingamshik”, que probablemente es el nombre del proyecto
- filepas.asc -> Archivo que contiene la clave PGP calculada para el equipo concreto, así como la nota de rescate
- manager.exe ->Archivo depositado por Transferencia devuelta pago erroneo.cmd y que contiene la función dañina del malware
- pgp.exe-> Archivo que genera la clave PGP personalizada
- rar.exe -> Archivo que encripta los archivos de la máquina
Para no levantar sospechas y evitar la acción de la protección antivirus, el malware permanece a la espera durante un rato mediante la función “sleep” de la API de Windows, y posteriormente comienza a “encriptar” todos los archivos del sistema:
Y digo “encriptar” entre comillas porque en realidad no los encripta, sino que manager.exe empieza a archivar (o meter en archivos “RAR” si se prefiere) todos los archivos del sistema con una serie de parámetros y una contraseña, empleando para ello la versión de línea de comandos de WinRAR El malware crea una clave aleatoria y única por cada proceso de infección, de forma que el valor de inicialización de dicha clave sea la API de Windows “GetCursorPos”. “GetCursorPos”, que se lanza 16 veces, obtiene las coordenadas X e Y del puntero del ratón en cada momento, lo que hace imposible adivinar o recuperar la clave.
Sin embargo, también hay buenas noticias. Mientras el malware está encriptando los archivos es posible recuperar fácilmente la contraseña de la memoria tal como se muestra además en la imagen superior. El valor que empieza por 5F0 y acaba por 131 es en realidad la contraseña utilizada para encriptar los archivos. Es posible utilizar por ejemplo la herramienta Process Explorer para determinar los argumentos de la línea de comandos y extraer la contraseña.
Como se ha explicado anteriormente, el archivo filepas.asc contiene la clave PGP + más la nota de rescate, que es la siguiente:
The files are packed in archives with a password.
Unpacked – 300 eur
To unpack the files send two files to email: chuingamshiki@gmail.com
1) file you are reading now
2) one packed file (no more than 1 megabyte)
In response comes the original file and the instruction for bitcoin transfer
(The original file is proof that it is possible to return all files to their original)
After the transfer bitcoin, you will receive your password to archives.
Also coming program to automatically unpack files
Reply to your letter will come within 24 hours.
If no response comes for more than 24 hours write to reserved e-mail: chuingamshiki@mail2tor.com
No pagues el rescate. Restaura los archivos utilizando el Servicio de Instantáneas de Volumen de Windows o directamente desde una copia de seguridad.
Si eres lo suficientemente rápido, podrás obtener la contraseña necesaria y restaurar tus archivos (no te olvides de ‘matar’ el proceso manager.exe una vez hayas copiado la contraseña, o seguirá encriptando el contenido de tu disco duro).
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
