Nuevas variantes de ransomware siguen surgiendo cada día, afectando a los usuarios y a las organizaciones.
Investigadores de seguridad de Proofpoint han publicado interesantes hallazgos sobre nuevos comportamientos que los autores están dando al malware. Analizaron los ransomware CryptFlle2, ROI Locker, BrLock, y MM Locker.
CryptFIle2 apareció a mediados de marzo de 2016 distribuido por los kits de explotación Neutrino y Nuclear. Cifra los archivos de interés con encripción RSA y para su rescate el pago es negociado con el atacante por correo electrónico.
ROI Locker fue detectado a principios de abril, parece que desde marzo empezó a circular. Se distribuye a través de sitios web de software falso. Mueve los archivos afectados a un archivo RAR protegido con contraseña. Ofrece la posibilidad de revisar cuáles archivos fueron bloqueados. El ransomware cierra el navegador cuando la víctima intenta visitar determinados sitios web en busca de ayuda, comunicando al usuario que debe pagar el rescate antes de ir a Internet. Para bloquear el navegador utiliza palabras clave relacionadas con soluciones de seguridad, redes sociales, video, entre otras. ROI Locker puede ser desinstalado pero en el proceso borrará los archivos bloqueados. Según los investigadores por la forma en que se ejecuta el proceso la contraseña del archivo RAR se puede encontrar en texto claro en la memoria de la máquina afectada, además de que se ha hecho público un descifrador del ransomware.
BrLock fue encontrado el 18 de abril afectando solamente a usuarios de Rusia. Reinicia la máquina y crea una ventana de rescate del navegador después del reinicio, que no puede evitarse ya que el ransomware mata los procesos de Task Manager y Explorer. Parece que no cifra los archivos aunque puede hacerlo usando AES. Sólo se queda como bloqueador de pantalla, por lo que al encontrar la forma de desbloquear la pantalla el computador podrá seguir siendo utilizado.
MM Locker fue descubierto a principios de marzo y tiene un comportamiento similar a la mayoría de los ransomware. Sólo llama la atención el énfasis que pone el atacante para convencer al usuario víctima para que pague el rescate.