- Disponible el Informe de Código Dañino ID-18/17 Ransom.TorrentLocker en la parte pública del portal.
- El fichero analizado corresponde a un dropper escrito en lenguaje JavaScript y destinado a ser ejecutado en la plataforma WSH1 (Windows Script Host) de Microsoft.
- El vector principal de infección de este código dañino han sido campañas masivas de phishing y Spam a través de correo electrónico con ficheros adjuntos.
El CCN-CERT ha publicado en la parte pública de su portal un nuevo Informe de Código Dañino: CCN-CERT ID-18/17 Ransom.TorrentLocker. En él se recoge el análisis de este ransomware, diseñado para ser ejecutado en la plataforma WSH1 de Microsoft, y que mediante la ofuscación obtenida utilizando un packer Nullsoft, el código ejecutable pasa desapercibido frente a los antivirus. El vector principal de infección son campañas masivas de phishing y spam a través de correo electrónico que ataca a los discos locales y remotos, así como a los medios extraíbles cifrando los ficheros, siempre que se cuente con conexión a Internet.
Como peculiaridad, este ejemplar utiliza una librería de código abierto llamada LibTomCrypt. Asimismo, es destacable el uso que se hace de los Tor Hidden Services para la comunicación del código dañino con el servidor de mando y control (C&C). Es importante resaltar que este fichero es una ejemplar del ransomware conocido como TorrentLocker, pero que se hace pasar por el ya extinto CryptoLocker.
Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Conexiones de red
- Persistencia en el sistema
- Desinfección
- Prevención
Además, se incluye un Anexo con una comprobación Windows y consola Powershell.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (02/08/2017)
