PadCrypt: La Primera Ransomware Con Live Chat y Desinstalador

 

 

Un nuevo ransomware fue descubierto  por @ abuse.ch  llamada PadCrypt que ofrece por primera vez una función de chat en vivo y un desinstalador para sus víctimas. CryptoWall fue el primer ransomware para proporcionar soporte al cliente en sus sitios de pago, pero el uso del chat en vivo permite que las víctimas puedan interactuar con los desarrolladores de malware en tiempo real.


PadCrypt ofrece una característica Live chat


Con el lanzamiento de PadCrypt, atención al cliente es llevado a un nuevo nivel, los desarrolladores de malware que ofrecen chat en vivo. En la pantalla principal para el ransomware PadCrypt hay un enlace llamado Chat en Vivo como se muestra en la imagen de abajo.


Si un usuario hace clic en la opción de chat en vivo, se abrirá otra pantalla que permite a la víctima para enviar un mensaje a los desarrolladores. Cuando los desarrolladores responden, su respuesta se mostrará en la misma pantalla.


Función de chat de PadCrypt


En este momento, los servidores de comando y control para PadCrypt están fuera de línea, por lo que el ransomware realidad no va a cifrar nada a pesar de que se muestra la pantalla de ransomware. Además, como el chat de soporte en tiempo real requiere un servidor C2 activa, la funcionalidad de chat en vivo se rompe también.


PadCrypt hace que sea fácil de eliminar la infección


Para aquellos que deseen eliminar la infección, PadCrypt facilita también por descargar e instalar un programa de desinstalación. Recientemente hemos visto un ransomware que le permite activar y desactivar la ejecución automática para ello, pero esta es la primera vez que hemos visto un ransomware que ofrece un programa de desinstalación también. Cuando se instala PadCrypt, un desinstalador también ser descargado e instalado en  % AppData% \ PadCrypt \ unistl.exe . Una vez que se ejecute el programa de desinstalación, eliminará todas las notas de rescate y los archivos asociados con la infección PadCrypt. Por desgracia, todos los archivos encriptados permanecerán.


Desarrolladores ransomware aman CryptoWall


Hay algo acerca de CryptoWall que otros desarrolladores ransomware simplemente les encanta imitar a ella. Este es también el caso de que el ejecutable PadCrypt tiene numerosas referencias a CryptoWall en ella. Por ejemplo, el AP para el ejecutable PadCrypt es:



También hay numerosas referencias a CryptoWall dentro del proyecto de C # para este ransomware. Por ejemplo, uno de los espacios de nombres para el ransomware se llama Cryptowall.


CryptoWall Espacio de nombres

 

Proceso de cifrado PadCrypt


No es actualmente desconocido cómo se propaga PadCrypt, pero debido a su nombre y que utiliza un icono de PDF, es muy probable que se extendió a través de adjuntos de correo electrónico. Estos archivos adjuntos de correo electrónico tienen nombres como DPD_11394029384.pdf.scr y cuando se ejecutan descargarán el  package.pdcr y unistl.pdcr  archivos de los servidores de comando y control ahora desactivado. 

 

Los servidores C2 conocidos utilizados por este ransomware incluyen annaflowersweb.com, subzone3.2fh.co, y cloudnet.online. El package.pdcr es el ejecutable PadCrypt y la uninstl.pdcr es el programa de desinstalación. Ambos archivos se almacenarán en el% AppData% \ PadCrypt carpeta.


Cuando se ejecuta el archivo principal PadCrypt.exe, se explorará las unidades locales de los archivos que coinciden con determinadas extensiones y encriptación de las mismas mediante el cifrado AES. Cualquier archivo que se cifra tendrá la .ENC  extensión del nombre de archivo. PadCrypt también registrará el nombre de cualquier archivo cifrado en el \ lista.txt% AppData% \ PadCrypt archivo. La lista de extensiones específicas son:

 pdf, gif, bmp, jpeg, jpg, png, doc, docx, ppt, ptx, psd, pdn


 

Durante el proceso de cifrado, PadCrypt también eliminará las instantáneas de volumen en el equipo ejecutando el siguiente comando:

 vssadmin delete shadows /for=z: /all /quiet


 

Cuando se ha terminado el cifrado de los datos que se creará una  LEER IMPORTANTE me.txt  archivo en el escritorio que contiene instrucciones de rescate como se muestra a continuación.


IMPORTANTE LEER me.txt


Por último, se mostrará la pantalla de rescate como se muestra a continuación.


Pantalla PadCrypt ransomware


Esta pantalla rescate proporcionará instrucciones sobre cómo hacer el pago Bitcoin 0.8 o un pago de $ 350 ~ a través de Ukash o Paysafecard. Las instrucciones también establecerá que tiene 96 horas para efectuar el pago o serás destruido la tecla. 


En este momento, actualmente se desconoce si hay una manera de descifrar estos archivos de forma gratuita, pero si aprendemos nada más vamos a estar seguro para ponerlo.

 

Archivos asociados con PadCrypt

 

Las entradas del registro asociado con PadCryp

 



<a onclick=J.A. M.A. (J.A.M.)" class='avatar avatar-64 photo' height='64' width='64'>
  • Autor:
  • Editor:
      Tutoriales En Linea
  • Fecha:2016-02-14
  • Categorias: Noticias Ransomware Tutorial malware



Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!