¿Usas un Sistema Operativo Windows en tu compu? Entonces este artículo debe interesarte.

Los virus troyanos HC6 Ransomware fueron documentados por Michael Gillespie el 28 de noviembre de 2017.

Como todo ransomware, su principal función es bloquear el sistema víctima y cifrar sus archivos para posteriormente exigir dinero y es capaz de infectar todas las versiones de Windows (Windows XP, Windows 7, Windows 8 y Windows 10), este virus, además de cifrar la información cuando el equipo ha sido infectado, han descubierto que su principal vía de difusión es utilizando la aplicación de Escritorio Remoto, puede infectar todo tipo de archivo añadiendo la extensión de archivo “.f*cku”.

 

 

Una vez encriptados los archivos, deja un archivo de texto como nota de rescate titulada “recover_your_files.txt” en el cual los hackers exigen 2550 USD en Bitcoins (0.25360 BTC), posteriormente, te piden que mandes un correo electrónico a nullforwarding@quallityservice.com para confirmar tu pago y así ellos procedan a desbloquear tus archivos.

Sin embargo, ha pasado muy poco tiempo para que los expertos en seguridad descubrieran que estos ataques no eran tan graves, pues su algoritmo para atacar presentaba un error (almacenar la clave de cifrado de forma local en el equipo infectado y sin ningún tipo de protección) y así crear una herramienta confiable para recuperar el acceso a la información.

Desafortunadamente, los hackers han trabajado duro en desarrollar una nueva versión y este error ya no existe con la llegada de HC7.

¿Cómo ataca HC7?

Además de cifrar los archivos ubicados en determinadas carpetas, se ha detectado se puede distribuir a otros equipos haciendo uso de PSExec (es básicamente una aplicación que sustituye a Telnet en algunos aspectos y que permite la ejecución de comandos en otros equipos de forma remota), alcanzando a todos los equipos ubicados en la red interna de una empresa (todos los equipos que utilicen esta aplicación se verán infectados).

La particularidad de CH7 es que añade la extensión GOTYA a los archivos infectados. Según Bleeping Computer, las extensiones de los archivos que se pueden ver afectados son las siguientes:

.001, .3fr, .3gp, .7z, .ARC, .DOT, .MYD, .MYI, .NEF, .PAQ, .SQLITE3, .SQLITEDB, .accdb, .aes, .ai, .apk, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .ncf, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp, wallet.dat

Posteriormente, el proceso del ataque es el mismo:

La amenaza genera un fichero de texto llamado RECOVERY.txt, en el cual encontramos las instrucciones para recuperar nuestra información y exigen que la víctima abone 700 dólares en un monedero Bitcoin (para recuperar información de un equipo) y 5,000 dólares para recuperar la información de todos los equipos infectados restantes de una misma red.

Pro no todo está perdido, ahora que la clave del cifrado no está almacenada en el dispositivo infectado, en la mayoría de los casos, es necesario analizar la RAM para recuperar la clave, luego de haber encontrado la clave, podemos utilizar esta aplicación para cifrar los datos y recuperar nuestra información.

 

Autor: Manuel Tohe

Deja un comentario