Los expertos de Doctor Web han descubierto el primer programa de ransomware escrito en Go, el lenguaje de programación desarrollado por Google.
El programa malicioso es un troyano al que se ha denominado Trojan.Encoder.6491. Una vez instalado en el sistema aparece como Windows_Security.exe y empieza su tarea de cifrado de los archivos usando el algoritmo de encripción AES 256.
Los archivos que en su nombre contienen los siguientes textos no son cifrados por el ransomware:
- tmp
- winnt
- Application Data
- AppData
- Program Files (x86)
- Program Files
- temp
- thumbs.db
- Recycle.Bin
- System Volume Information
- Boot
- Windows
- .enc
- Instructions
- Windows_Security.exe
El ransomware cifra 140 tipos diferentes de archivos, encriptando además el nombre del archivo y añadiendo la extensión .ENC al archivo afectado. Por ejemplo, un archivo Test_file.avi es cambiado a VGVzdF9maWxlLmF2aQ==.enc.
Los ciberdelincuentes detrás del ransomware exigen 25 Bitcoins -casi 16 mil dólares-, por el rescate de los archivos; es decir, por la llave para su descifrado, dando un plazo de 72 horas para su pago.
Los expertos de Doctor Web han desarrollado un método para descifrar los archivos comprometidos por el malware y recomiendan a los usuarios afectados:
- Bajo ninguna circunstancia intentar resolver el problema usando algún programa para reinstalar, optimizar o limpiar el sistema operativo.
- No borrar archivos del computador.
- No intentar restaurar los datos cifrados.
Doctor Web proporciona asistencia a los usuarios afectados que cuenten con una licencia comercial de las soluciones de seguridad de Dr.Web. [Dr.Web en ASI]