Un informe publicado en AVG News se ha hecho eco de una nueva versión del conocido ransomware que secuestra PC haciéndose pasar por la policia, una variante que, en lugar de bloquear el equipo infectado, encripta imágenes, documentos y archivos ejecutables en un intento de impedir cualquier intento de eliminación. El ciberdelicuente no incapacita completamente las máquinas, que siguen funcionando en su mayor parte, aunque muchos datos se perderán y algunos programas no funcionarán. Según el informe, los archivos de sistema Windows escaparían de esta encriptación forzada.
Según el informe, después de su ejecución, el malware genera aleatoriamente ejecutables ctfmon.exe o svchost.exe e inyecta su propio código. El proceso del sistema de inyección ejecuta una copia en la carpeta %TEMP%, creando procesos ctfmon.exe o svchost.exe con el código inyectado.
En primer lugar, el malware genera un único ID del equipo, ID que luego utiliza para producir una clave de cifrado con funciones de cifrado de la API como “advapi32!CryptHashData” y “advapi32!CryptDeriveKey”. Ahora el malware envía peticiones con el ID del ordenador a su servidor de comando y control, cifrando sus comunicaciones en el servidor con la primera llave y permitiendo que el troyano pueda descifrarlos en los equipos infectados. A continuación, se crea una segunda clave utilizando "advapi!CryptGenKey", con la que el atacante podría descifrar los archivos cifrados una vez pagado el rescate.
– CSO