Un amigo mío fue recientemente atacado por este nuevo cryptolocker de manera inusual. Anticipo mi pregunta: qué tipo de cryptolocker es , cuál podría ser el vector de ataque, y hay una cura disponible para recuperar archivos? Sé, y le expliqué a la fiesta, que el segundo es poco probable.
Mi amigo ejecutó un servidor con Win10 Enterprise. El día después de que la oficina cerró, el 13 de agosto, el malware atacó el sistema. Renombró a archivos de destino (he visto archivos PDF, XLSX por ahora) en .exe
s agregando una extensión larga to get password email id [....] to [email protected]
donde hay un número largo en lugar de texto entre corchetes.
La infección se propagó a MS OneDrive, donde todos los archivos se cifraron y se eliminaron sus originales (esperamos que simplemente se "destruyan", por lo que MS podría tener una copia de seguridad).
La máquina estaba desatendida en el momento de la infección. No tengo una computadora estéril en este momento, y no me atreveré a abrir los archivos exe
en ninguna otra máquina hasta que no tenga en mis manos una. Es la mejor manera de infectar otra máquina.
Tengo dudas de que este cryptolocker sea capaz de penetrar en un servidor desatendido (el escritorio remoto estaba deshabilitado, no tengo registro de que haya sido bloqueado correctamente, supongamos que no) como lo hizo WannaCry. La infección no se propagó a las computadoras LAN que ejecutan Windows 10 cuando la oficina volvió a abrir y esas computadoras se volvieron a encender.
Todavía no tengo acceso a los datos cifrados. Acabo de recibir una llamada y pude ver cómo se veían los archivos de OneDrive, sin abrir ninguno.
Mi investigación (el enlace a VirusTotal no está disponible aquí en este momento) encontró que los archivos exe cifrados pueden ser simples archivos rar de SFX, a juzgar por el tipo de contenido. De modo que al menos hay crackers de contraseña rar conocidos, a pesar de que una fuerza bruta puede ser irrealista.
¿Alguna información sobre esta herramienta?