Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/12/2018
Nuevo ransomware se propaga rapidamente por China
Se han detectado mas de 100000 equipos infectados y va en aumento.
Lo característico de este ransomware es que solicita un pago en Yuanes (moneda china) a través de la aplicación WeChat Pay, función de pago que ofrece la aplicación de mensajería más popular en china.
El vector de infección es una aplicación de programacion llamada EasyLanguaje donde se ha inyectado el código malicioso y como método de evasión del antivirus se ha firmado el software como Tencent Technologies, fabricante de software certificado por Microsoft.
Una vez infectado roba los inicios de sesión de los sitios web chinos más populares y los envía a un servidor de comando y control, así como exfiltra la mayoría de datos referentes al hardware y sistema operativo.
Una vez hecho esto cifra con XOR la mayoría de ficheros del sistema, pero se ha detectado que se almacena la contraseña de descrifrado en en fichero del sistema, con lo que sería posible descifrarlos.
Más información