{"id":574,"date":"2016-01-06T12:25:52","date_gmt":"2016-01-06T17:25:52","guid":{"rendered":"https:\/\/cert.pa\/?p=574"},"modified":"2016-01-14T11:30:31","modified_gmt":"2016-01-14T16:30:31","slug":"ransom32-primer-ransomware-que-utiliza-javascript","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=574","title":{"rendered":"Ransom32, primer Ransomware escrito en Javascript"},"content":{"rendered":"

CSIRT Panam\u00e1 Aviso 2016-01- Ransom32 primer Ransomware escrito en\u00a0Javascript
\nGravedad: ALTA
\nFecha de publicaci\u00f3n: Enero 04, 2016
\nFecha de modificaci\u00f3n: Enero 05, 2016
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.
\nFuente: Emsisoft Blog<\/p>\n

I. Sistemas Afectados
\nTodos los sistemas operativos (Windows, GNU\/Linux, MacOS) que permitan la ejecuci\u00f3n de c\u00f3digo Javascript.<\/p>\n

II. Descripci\u00f3n<\/p>\n

“Ransom32” es un Ransomware escrito en Javascript, lo que en teor\u00eda permitir\u00eda ejecutarse en Linux y MacOS X aparte del tradicional entorno Windows. \u00c9ste c\u00f3digo malicioso que fue reportado por primera vez el 29 de diciembre de 2015 utiliza NW.js, una combinaci\u00f3n de Node.js y Node-Webkit, que permite a Javascript tener acceso al sistema operativo y realizar modificaciones en el mismo, a diferencia de otras implementaciones de Webkits las cuales previenen la utilizaci\u00f3n de funciones del sistema operativo; NW.js no posee estas limitantes.
\nHasta el momento s\u00f3lo se ha visto enfocado hacia el ambiente Windows, sin embargo por la naturaleza de “Ransom32” es probable que realicen los ajustes necesarios para que pueda ser ejecutado en entornos *nix como Linux y MacOS X.
\nUna clara diferencia entre \u00e9ste Ransomware es que pesa 22 MB, cuando otros Ransomware no exceden de 1 MB en tama\u00f1o. Ransom32 viene en un archivo RAR, con una serie de ejecutables, scripts de Visual Basic y archivos dll que se desempaqueta autom\u00e1ticamente en el directorio de archivos temporales, ejecuta chrome.exe (contenido en el archivo infectado), establece conexiones v\u00eda TOR con un servidor de Comando y Control, desplegando finalmente en pantalla una nota solicitando Bitcoins a cambio de revertir el cifrado en los archivos personales.<\/p>\n

III. Impacto
\nVector de acceso: Remoto, mediante ejecuci\u00f3n de Javascript en la m\u00e1quina v\u00edctima.
\nComplejidad de Acceso: Media
\nAutenticaci\u00f3n: Se requieren permisos de ejecuci\u00f3n de programas.
\nTipo de impacto: Compromiso parcial o total de la integridad de los datos personales del usuario.<\/p>\n

IV. Detecci\u00f3n
\nEs posible detectar y eliminar variantes de programas de rescate (Ransomware) mediante escaneos frecuentes con herramientas anti-virus y anti-malware actualizadas. Una buena implementaci\u00f3n de pol\u00edticas de filtrado de correo y cortafuegos permiten el descarte de fuentes maliciosas a las que el usuario puede acceder para la descarga e instalaci\u00f3n involuntaria del programa de rescate (ransomware).<\/p>\n

\u00bfC\u00f3mo se reconoce?
\nUn m\u00e9todo com\u00fan para infectar a usuarios con un programa de rescate (Ransomware) es mediante correos electr\u00f3nicos. Se debe sospechar de fuentes desconocidas y correos en otros idiomas. Sin embargo es posible que el correo provenga de alg\u00fan contacto conocido, se debe confirmar por otra v\u00eda (sin responder al correo sospechoso) sobre el env\u00edo del adjunto. Algunos correos viene con el asunto fax.
\nPara el caso de Ransom32 la pantalla que se despliega en la m\u00e1quina infectada es la presentada en la Figura\u00a01.<\/p>\n

\"imagen-ran23\"<\/a>

Figura 1. Pantalla de infecci\u00f3n por Ransom32.<\/p><\/div>\n

V. Mitigaci\u00f3n<\/p>\n

Generalmente los Ransomware utilizan mecanismos de cifrado no reversibles. La mayor\u00eda de las veces no existen mecanismos para descifrar los archivos sin la clave que est\u00e1 en poder de los atacantes. Las siguientes recomendaciones buscan brindar al lector opciones para evitar ser v\u00edctimas de \u00e9ste tipo de c\u00f3digo malicioso.<\/p>\n