- En ambos casos, el malware ha sido diseñado para instalarse en el sistema, cifrar ciertos archivos y extorsionar a la víctima mostrando una notificación sobre el procedimiento de pago para recuperar los archivos cifrados.
- El CERT Gubernamental Nacional publica los dos informes con IOC y regla YARA.
El CCN-CERT ha hecho públicos dos nuevos Informes de Código Dañino: CCN-CERT ID-18/16 Ransom.Mischa y CCN-CERT ID-19/16 Ransom.DMALocker, en los que analizada sendos malware diseñados para cifrar archivos y pedir un rescate por su recuperación.
En el primero de los casos, el Ransom.Mischa, se distribuyó inicialmente por correos electrónicos a departamentos de Recursos Humanos de ciertas organizaciones ubicadas en Alemania, aunque posteriormente su distribución se hizo masiva.
En cuanto al Ransom.DMALocker, en un principio se difundió en campañas usando otros códigos dañinos que dieran acceso remoto a la víctima. Posteriormente, se han usado campañas de correos electrónicos, de tipo Phishing, así como binarios que simulan ser otros ejecutables.
Los dos informes ahora publicados por el CCN-CERT incluyen además las siguientes secciones:
- Información de versiones
- Características y detalles generales
- Procedimiento de infección
- Cifrado y ofuscación
- Persistencia en el sistema
- Conexiones de Red (en el caso del DMA.Locker)
- Archivos relacionados
- Detección
- Desinfección
- Información del atacante
- Reglas de detección (Regla Yara e IOC)
CCN-CERT (23-08-2016)
