CryptoHost, un Ransomware inusual

Se Propaga de una forma diferente al resto de los ransomwares es un virus que funciona como caballo de Troya (Troyano) se esconde usualmente en paquetes de software legítimo y común.

No sólo encripta los archivos, sino que también evita que ciertas aplicaciones se ejecuten que tienen un patrón específico en su nombre de proceso. Además, se utiliza una forma no convencional de propagación que hasta ahora no se considera típico de ransomware. La buena noticia para las víctimas es: ¡el cifrado de su iteración actual puede ser violado!

Cryptohost toma los datos que desea cifrar y lo copia en un archivo RAR y cifra Este archivo con una contraseña. Los archivos originales se eliminan automáticamente. Los siguientes tipos de archivos están encriptados:

  *.3g2 *.3gp *.asf *.7z *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf  *.png *.pps *.ppd *.ppt *.pptx *.psd *.rm *.qt *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsx *.zip


¡Es posible recuperar los datos!

En su implementación actual, el ransomware es realmente susceptible a ataques. Las víctimas pueden restaurar sus datos. La contraseña para el archivo RAR consta de los siguientes componentes:

SHA1Hash(Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + username

Investigador en PCRisk.com informó que la contraseña para archivos RAR creado por su muestra de Cryptohost consiste en "el nombre del nombre del archivo RAR + ordenador." De acuerdo con nuestros resultados, es una combinación de nombre y el del archivo RAR nombre de usuario en lugar del nombre del equipo.

El SHA1 es el nombre del archivo RAR. El nombre de usuario se puede determinar de la siguiente manera: pulse la tecla de Windows + R; a continuación, escriba cmd y presione Intro. En la ventana de línea de comandos de reciente apertura, introduzca echo% nombre de usuario% y pulse Intro de nuevo. La cadena que se muestra es el nombre de usuario.

Ejemplo: El archivo RAR se llama 123456789ABCDE y el nombre de usuario es JDoe. Por lo tanto, la contraseña es 123456789ABCDEJDoe

Deja un comentario

Con la tecnología de Blogger.