Se ha detectado un nuevo malware de borrado de datos que infecta cada vez más terminales cada día que pasa, pero lo más curioso es que se hace pasar por ransomware (se abre en una pestaña nueva).
El malware se llama Azov Ransomware, y cuando se ejecuta en el dispositivo de una víctima, sobrescribe los datos del archivo con basura, lo que hace que los archivos sean inútiles. Las sobrescrituras son cíclicas: el malware sobrescribiría 666 bytes de datos, luego dejaría intactos los siguientes 666 y luego repetiría el proceso.
Aunque no hay forma de recuperar los archivos corruptos, no hay una clave de descifrado ni demandas de rescate, el malware (se abre en una pestaña nueva) todavía viene con una nota de rescate, que dice que las víctimas deben comunicarse con los investigadores de seguridad y los periodistas para obtener ayuda.
Disparador de ejecución
Otra cosa curiosa sobre Azov Ransomware es que viene con un disparador, dejándolo inactivo en el punto final hasta el 27 de octubre a las 10:14:30 a. m. UTC, después de lo cual se desata el infierno.
Cuando llega esta fecha, la víctima no necesariamente necesita ejecutar el ejecutable exacto; ejecutar prácticamente cualquier programa servirá. Esto se debe a que el limpiador infectará todos los demás ejecutables de 64 bits en los dispositivos cuya ruta de archivo no contenga estas cadenas:
:Windows
ProgramData
cache2entradas
BajoContenido.IE5
Datos de usuarioPredeterminadoCaché
documentos y configuraciones
Todos los usuarios,
En otras palabras, ejecutar un programa aparentemente inofensivo bloquearía la computadora y arruinaría todos los datos que contiene.
Azov Ransomware se distribuye a través de la botnet Smokeloader, que se encuentra comúnmente en software pirateado falso y sitios de crack.
Quienquiera que esté detrás de este limpiaparabrisas, sus motivos siguen sin estar claros. Mientras que algunos investigadores piensan que el limpiaparabrisas se usa para encubrir otros comportamientos maliciosos, otros piensan que el motivo no es más que trolear a la comunidad de seguridad cibernética.
Vía: BleepingComputer (se abre en una pestaña nueva)