Ransomware de Donald Trump, lo que le faltaba al candidato

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

La agitada campaña presidencial de los Estados Unidos ha dado a la prensa ríos de tinta para escribir sobre ambos candidatos, pero destaca Donald Trump por sus características tan escandalosas y particulares.

Las declaraciones racistas, misóginas y xenófobas del candidato republicano a la presidencia de los Estados Unidos de Norte América, lo configuran como un anzuelo ideal para distribuir material infectado que capture la atención del público para montar una campaña de ransomware, con un alto nivel de infección.

En la Deep Web, encontramos un ransomware de Donald Trump en etapa de desarrollo con 5 semanas transcurridas desde su primera compilación.

Por sus características, hay una buena probabilidad de que el vector de ataque no sea desarrollado totalmente antes de las elecciones presidenciales, y por tal razón no sea distribuido de forma activa

No obstante pudimos analizar que el ransomware contiene funciones para encriptar archivos usando un algoritmo AES, si bien en su estado actual no puede cifrar nada.

En su lugar, buscará los archivos en la carpeta cifrar y base64 codificando los nombres de archivo y seguidamente añadirá la extensión .ENCRYPTED a todos los archivos que concuerdan con algunas extensiones predeterminadas de archivo.

Las extensiones a las cuales apunta este ransomware son:

zip, .mp3, .7z, .rar, .wma, .avi, .wmv, .csv, .tax, .sidn, .itl, .mdbackup, .menu, .icarus, .litemod, .sav, .lvl, .raw, .flv, .m3u, .xxx, .pak, .jpg, .png, .docx, .doc, .ppt, .odt, .csv, .jpeg, .psd, .rtf, .cfg, Minecraft, alts.json, .wolfram, .dat, .dat_mcr, .mca, .Ink, .pub, .pptx, .php, .html, .yml, .sk, .txt, .mp4, .vb, .swf, .ico, .xcf, .jar, .log, .sln, .ini, .dll, .xml, .tex, .assets, .resource, .java, .js, .css, .gif,

En el estado embrionario de desarrollo de este vector, solo haciendo clic en el botón desbloqueo los archivos renombrados volverán a sus extensiones originales.

Si bien en este caso el vector no tiene consecuencias permanentes, la noticia en sí es una excusa educativa de valor para repasar las buenas prácticas de seguridad y no cometer errores, de modo que una noticia de alto impacto no pueda ser aprovechada para vulnerar la seguridad de las personas.

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris