BlogChinese Hackerscomputer virusMalwareMalware attackpassword stealerransomwareransomware attackransomware malwareWeChat

Nuevo ransomware que se propaga rápidamente en China infectó más de 100.000 PC

Una nueva pieza de ransomware se está extendiendo rápidamente por China que ya ha infectado a más de 100.000 computadoras en los últimos cuatro días como resultado de un ataque a la cadena de suministro … y la cantidad de usuarios infectados aumenta continuamente cada hora.

¿Qué es interesante? A diferencia de casi todos los programas maliciosos de ransomware, el nuevo virus no exige pagos de rescate en Bitcoin.

En cambio, el atacante está pidiendo a las víctimas que paguen 110 yuanes (casi USD 16) en rescate a través de WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.

Ransomware + ladrón de contraseñas – A diferencia de los brotes de ransomware WannaCry y NotPetya que causaron el caos mundial el año pasado, el nuevo ransomware chino se ha dirigido solo a usuarios chinos.

También incluye una capacidad adicional para robar las contraseñas de las cuentas de los usuarios para los sitios web de Alipay, el servicio de correo electrónico NetEase 163, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang y QQ.


Un ataque a la cadena de suministro – Según la firma china de ciberseguridad y antivirus Seguridad de terciopelo, los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.

El software de programación modificado maliciosamente fue diseñado para inyectar código de ransomware en cada aplicación y producto de software compilado a través de él, otro ejemplo de un ataque a la cadena de suministro de software para propagar el virus rápidamente.

Más de 100.000 usuarios chinos que instalaron cualquiera de las aplicaciones infectadas enumeradas anteriormente vieron comprometidos sus sistemas. Este ransomware cifra todos los archivos de un sistema infectado, excepto los archivos con extensiones gif, exe y tmp.

Uso de firmas digitales – Para defenderse de los programas antivirus, el malware utiliza un programa con firma válida para ejecutar el código del virus y también evita el cifrado de datos en algunos directorios específicos, como “Tencent Games, League of Legends, tmp, rtl y program”.

Una vez cifrado, el ransomware muestra una nota en la que se pide a los usuarios que paguen 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de 3 días para recibir la clave de descifrado.

Si no se paga dentro del tiempo mostrado, el malware amenaza con eliminar la clave de descifrado de su servidor de comando y control remoto automáticamente.

Además de cifrar los archivos de los usuarios, el ransomware también roba silenciosamente las credenciales de inicio de sesión de los usuarios para los sitios web populares chinos y las cuentas de redes sociales y las envía a un servidor remoto.

También recopila información del sistema, incluido el modelo de CPU, la resolución de pantalla, la información de red y la lista de software instalado.

Pobre ransomware ha sido descifrado – Los investigadores chinos de ciberseguridad descubrieron que el ransomware se había programado mal y los atacantes mintieron sobre el proceso de cifrado.

La nota de ransomware dice que los archivos de los usuarios se han cifrado utilizando el algoritmo de cifrado DES, pero en realidad, cifra los datos utilizando un cifrado XOR menos seguro y almacena una copia de la clave de descifrado localmente en el sistema de la víctima en una carpeta en la siguiente ubicación:% usuario% AppData Roaming unname_1989 dataFile appCfg.cfg

Con esta información, el equipo de seguridad de Velvet creó y publicó un herramienta gratuita de descifrado de ransomware que puede desbloquear fácilmente archivos cifrados para las víctimas sin necesidad de que paguen ningún rescate.

Los investigadores también lograron descifrar y acceder a los servidores de base de datos MySQL y de comando y control de los atacantes, y encontraron miles de credenciales robadas almacenadas en ellos.

¿Quién está detrás de este ataque de ransomware? – Utilizando información disponible públicamente, los investigadores han encontrado un sospechoso, llamado “Luo”, que es programador de software de profesión y han desarrollado aplicaciones como “lsy resource assistant” y “LSY classic alarm v1.1”.

El número de cuenta QQ, el número de teléfono móvil, el ID de Alipay y los ID de correo electrónico de Lua coinciden con la información que los investigadores recopilaron siguiendo la cuenta de WeChat del atacante.

Después de ser notificado de la amenaza, WeChat también suspendió la cuenta de los atacantes en su servicio que se estaba utilizando para recibir los pagos del rescate.

Los investigadores de Velvet también han informado a las agencias policiales chinas con toda la información disponible para una mayor investigación.

Hacker chino detrás de WeChat Ransomware arrestado

ACTUALIZACIÓN (12/06/2018) – La policía de Dongguan arrestó a un hombre chino de 22 años que admitió su papel en la creación y propagación de un nuevo malware ransomware en China que ha comprometido más de 100,000 computadoras en los últimos cinco días, pidiendo a las víctimas que paguen un rescate a través del servicio de pago WeChat.

Como se explica en el artículo anterior, el pirata informático (cuyo nombre e identidad fueron revelados por investigadores de seguridad como Luo Moumou) no hizo mucho para despejar sus huellas, lo que facilitó que las autoridades lo rastrearan en 24 horas.

“Después del juicio, el sospechoso Luo Moumou confesó el hecho de que estaba creando un nuevo ransomware para destruir el sistema de información de la computadora y usando WeChat para pagar el chantaje”, medios chinos informó. “Según su confesión, en junio de 2018, Luo Moumou desarrolló de forma independiente el truco del virus, que se utilizó para robar la contraseña de la cuenta de otros Alipay y luego robar fondos mediante transferencia”. Moumou fue arrestado el 5 de diciembre en Maoming, una ciudad ubicada en el suroeste de Guangdong, China.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar