Informe sobre el código dañino “Ransom.Bart” que incluye medidas para su detección y desinfección

  • El documento ID-02/17 Ransom.Bart está disponible en el portal del CCN-CERT.
  • Este código dañino actúa enumerando todas las unidades del sistema y cifrando aquellas que tengan ciertas extensiones en su nombre.
  • El malware “Ransom.Bart” es, probablemente, una creación de los mismos autores del “Ransom.Locky” o una versión de este.

El CCN-CERT ha publicado en la parte pública de su portal el Informe de Código Dañino: CCN-CERT ID-02/17 Ransom.Bart, un nuevo tipo de malware que se cree que puede estar relacionado con los creadores del “Ransom.Locky” o, en su defecto, se basa en el mismo código fuente.

La forma en la que opera este código dañino consiste en registrar todas las unidades del sistema, locales y remotas, y comprimir en un archivo “zip” con contraseña todos aquellas que tengan ciertas extensiones en su nombre, como por ejemplo: jpeg, wmv, xlsx, txt, etc. Al mismo tiempo, crea un archivo de texto en el sistema con el nombre, recover.txt, que informa al usuario de la infección y los pasos que debe seguir para la recuperación de sus datos.

Al no establecer ninguna comunicación de red con ningún servidor C2 y almacenar la información que necesita embebida en el propio binario, el proceso de análisis y detección del malware “Ransom.Bart” resulta complejo, y a esto se une la fuerte ofuscación en su código que dificulta aún más la identificación.

El informe también recoge una serie pautas y herramientas para detectar si un equipo se encuentra, o ha estado infectado, como el “Mandiant IOC Finder”, el colector generado por RedLine o el Gestor de Tareas de Windows. Asimismo, la herramienta desarrollada por la firma de antivirus AVG, “AVG´s Bart Decryptor”, también puede ser empleada para descomprimir los archivos cifrados con un porcentaje de éxito muy elevado.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Información de versiones de código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Reglas de detección (Indicador de Compromiso y Yara)

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (07/02/2017)

Descargar informe CCN-CERT ID-02/17 Ransom.Bart

 

Ministerio de Defensa
CNI
CCN
CCN-CERT