Comunicados CCN-CERT

Publicado el informe del código dañino “Ransom.CryptXXX”

  • El documento ID-24/16 CryptXXX está disponible en la parte pública del portal del CCN-CERT.
  • Este ransomware ha sido diseñado para instalarse en el sistema, comunicarse con un dominio de Internet, cifrar ciertos archivos y extorsionar a la víctima mostrando una notificación sobre el procedimiento de pago para rescatar los archivos cifrados.
  • El CERT Gubernamental Nacional publica el informe con su regla YARA e IOC correspondiente.

El CCN-CERT ha publicado el Informe de Código Dañino: CCN-CERT ID-24/16 CryptXXX, un código dañino que ha sido diseñado para instalarse en el sistema, comunicarse con un dominio de Internet, cifrar ciertos archivos y extorsionar a la víctima mostrando una notificación sobre el procedimiento de pago para rescatar los archivos cifrados.

El malware se distribuye mayoritariamente mediante downloaders que son los encargados de bajar el código dañino de Internet y ejecutarlo como, por ejemplo, Bedet. Otro medio de distribución del código dañino es utilizar servidores comprometidos en los cuales se alojó un “Exploit Kit” que aprovecha alguna vulnerabilidad en los navegadores de los visitantes de las páginas web alojadas para descargar el código dañino y ejecutarlo en sus sistemas.

El documento incluye además las siguientes secciones:

  • Información de versiones
  • Características
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección
  • Desinfección
  • Información del atacante
  • Referencias
  • Reglas de detección (Reglas Yara e IOC)

Pueden acceder a los informes en la sección de Informes Públicos del portal del CCN-CERT.

CCN-CERT (26-09-2016)

Acceso a Informe

Ministerio de Defensa
CNI
CCN
CCN-CERT