Un nuevo ransomware llamado Vovalex se está distribuyendo a
través de software pirata que se hace pasar por populares utilidades de
Windows, como CCleaner.
Todas las infecciones de ransomware se reducen a la misma
función: cifrar los archivos de un dispositivo y luego enviar una nota de
rescate exigiendo el pago de alguna forma.
Si bien Vovalex no es diferente, lo que se destaca Vitali Kremez de Advanced Intel y
MalwareHunterTeam, quienes encontraron el ransomware, es que puede ser el
primer ransomware escrito en D.
2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or ‘D’|x64 ~32mb Size
Probably First Documented Ransomware Written in ‘D’
Dlang Section Headers with “dmd” Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tpXMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS— Vitali Kremez (@VK_Intel) January 29, 2021
Según el sitio web de D, Dlang está inspirado en C ++ pero
comparte componentes de otros lenguajes.
“D es la culminación de décadas de experiencia en la
implementación de compiladores para muchos lenguajes diversos y en el intento
de construir grandes proyectos utilizando esos lenguajes. D se inspira en esos
otros lenguajes (especialmente C ++) y lo modera con la experiencia y la
practicidad del mundo real”, afirma el sitio web de D.
Como los desarrolladores de malware no suelen utilizar
Dlang, Kremez cree que los atacantes lo están utilizando para evitar u cierto
porcentaje las detecciones.
Vovalex se distribuye en software pirata
Vovalex fue descubierto por primera vez por
MalwareHunterTeam, quien compartió una muestra [VirusTotal] para que podamos
echar un vistazo.
La muestra compartida analizada se distribuye como una copia
warez de la utilidad CCleaner Windows, como puede verse en el archivo NFO
incluido a continuación.
Cuando se ejecuta, el ransomware iniciará un instalador de
CCleaner legítimo y se copiará al nombre de archivo aleatorio en la carpeta%
Temp%.
El ransomware comenzará a cifrar archivos en la unidad y
agregará la extensión .vovalex a los nombres de los archivos cifrados.
Cuando termine, el ransomware creará una nota de rescate
llamada README.VOVALEX.txt en el escritorio que solicita 0.5 XMR (Monero) para
recuperar un descifrador. Esta cantidad equivale aproximadamente a $ 69,54 .
Afortunadamente, Vovalex no se distribuye ampliamente en este
momento. Si los actores de amenazas se asocian con sitios de crack falsos y
paquetes de adware, de manera similar a cómo se distribuye el ransomware STOP,
entonces es posible que tengamos un problema mayor en nuestras manos.
Fuente: bleepingcomputer
