Virus Informático Win32.Polyransom.F
| ||||||
Win32.Polyransom.F o Win32/VirLock. Es un ransomware que bloquea la pantalla y después no solo cifra los archivos existentes, sino que además los infecta insertando en ellos una copia íntegra de su código, debido a lo cual adquiere la clasificación de virus.
Sumario
Características Principales
Un archivo no ejecutable al ser infectado se convierte en un fichero Win32 PE, con extensión EXE, que contiene el código del virus y además el fichero original cifrado, el cual se almacena en una posición aleatoria en cada fichero infectado. Cuando se ejecuta un archivo contaminado con este virus, se descifra el archivo original integrado en su cuerpo, lo coloca en el directorio actual y lo abre. Seguidamente el virus se instala colocando dos instancias con nombres aleatorios de sí mismo en los directorios “%userprofile%” y “%allusersprofile%” (no son copias, cada instancia es única ya que el virus es polimórfico), y agrega entradas en las llaves de registro Run de HKCU y HKLM para garantizar su ejecución en cada reinicio del sistema. Este código malicioso además se instala como un servicio del sistema utilizando un nombre aleatorio. El virus contiene un hilo de ejecución con la funcionalidad de bloqueo de pantalla, utilizando las medidas protectoras típicas, como el cierre de explorer.exe, el Administrador de Tareas, etc. Después de algunos minutos de haber ejecutado el código maligno, bloquea el acceso al sistema operativo, y para poder tener acceso nuevamente se informa al usuario que debe pagar cierta cantidad de dinero a través del servicio Bitcoin. Con este fin el virus muestra una pantalla de rescate. El virus posee, además, otro hilo de ejecución que se encarga de la infección de los archivos. Polyransom.F busca ficheros que le sirvan para alojarse en unidades locales y extraíbles, e incluso en redes compartidas, para incrementar su propagación.
Extenciones que afecta
Las extensiones de archivos que intenta infectar difieren entre las distintas versiones de Polyransom. Generalmente incluye, entre otras, las siguientes extensiones: *.EXE, *.DOC, *.XLS, *.ZIP, *.RAR, *.PDF, *.PPT, *.MDB, *.MP3, *.MPG, *.PNG, *.GIF, *.BMP, *.P12, *.CER, *.PSD, *.CRT, *.PEM, *.PFX, *.P7B, *.WMA, *.JPG y *.JPEG.
Identificación
Para identificar los archivos infectados con la variante F del virus Polyransom, el antivirus debe tomar como patrón las instrucciones básicas que conforman la rutina de descifrado que se encuentra en el punto de entrada del fichero infectado teniendo en cuenta el polimorfismo existente en esta rutina (instrucciones garbage, cambio de registros, etc). Para lograr obtener los patrones de identificación adecuados es necesario analizar una batería de ficheros contaminados.
Descontaminación
Para descontaminar un fichero infectado con esta variante del virus Polyransom, el antivirus debe determinar la zona donde se encuentran los datos necesarios para descifrar el nombre del fichero original (en unicode) y los datos almacenados en el fichero. Estos datos son: la posición inicial, la cantidad de bytes a descifrar, la llave y las operaciones de descifrado que deben ser ejecutadas.
Otras variantes de la familia de virus Polyransom
En la variante E de este virus el fichero original se encuentra comprimido dentro del fichero ejecutable infectado al igual que la variante C, pero a diferencia de las variantes F y C, el fichero original y parte del código del virus se encuentran dentro del Área de Recursos del fichero infectado. La variante B no comprime el fichero original cuando es infectado, pero de forma similar a las variantes anteriores posee múltiples capas de cifrado con un alto nivel de ofuscamiento y variabilidad. También han sido reportadas al Laboratorio Antivirus de la Empresa Segurmática las variantes A, H e I de esta familia de virus polimórficos.
Detección del virus
La Empresa de Consultoría y Seguridad Informática (Segurmática) ha desarrollado productos de software antivirus de diferentes tipos, como identificadores, descontaminadores, preventores, detectores genéricos, recuperadores, filtros de correo electrónico y otros para diversos sistemas operativos, los cuales identifican y descontaminan la familia de virus W32.Polyransom, así como los restantes programas malignos que han sido detectados en el país hasta la fecha.
Prevención
Tener siempre el antivirus actualizado y activada la Protección Permanente.
Fuente
Revista GIGA # 1 año 2016 http://www.segurmatica.cu
