Check Point crea una herramienta para descifrar el ransomware Merry X-Mas
- Seguridad
Este malware cifra los archivos de sus víctimas y exige un rescate a través de una nota con diseño navideño en la que se puede leer "Merry X-Mas".
Check Point Software Technologies ha desarrollado una herramienta, que se puede obtener gratuitamente de su página web, gracias a la cual los usuarios afectados por el ransomware Merry X-Mas pueden recuperar sus datos. Este malware cifra los archivos de sus víctimas y exige un rescate a través de una nota con diseño navideño en la que se puede leer “Merry X-Mas”.
|
Quizá te interese... GDPR: ¿dónde están los datos a proteger? Verifica las herramientas con las que pruebas tus apps móviles |
El ransomware se distribuyó por primera vez el 3 de enero a través de una campaña de spam, con un falso correo de la Comisión Federal de Comercio de Estados Unidos. Cuando el usuario hacía clic en el enlace del mensaje, descargaba un archivo comprimido con la extensión “pdf.exe”. Disfrazado como un archivo PDF, el fichero realmente servía para instalar Merry X-Mas.
El segundo asalto se produjo unos días después, el 8 de enero, camuflado como una citación judicial. En el cuerpo del mensaje aparecía un enlace para descargar un documento comprimido de Word, que contenía una macro maliciosa que instala tanto Merry X-Mas como el ladrón de información DiamondFox. Este malware es capaz de robar credenciales o datos de tarjetas de crédito, y también puede lanzar Ataques de Denegación de Servicio (DDoS) como parte de una gran botnet.
Merry X-Mas contacta con un servidor fijo. Si no llega una respuesta, utiliza una clave prefijada para cifrar los archivos de la víctima. El ransomware puede cifrar tanto el contenido del fichero, como el nombre. Cuando lo hace, cambia sus extensiones a una de las siguientes: “.PEGS1”, “.MRCR1”, “.RARE1”, “.MERRY” o “.RMCM1”. Si el hacker lo permite, el malware también puede cifrar los recursos de red compartidos.
Finalmente, cuando se completa el proceso, aparece un archivo HTA (html-based) llamado “YOUR_FILES_ARE_DEAD.HTA" o "MERRY_I_LOVE_YOU_BRUCE.HTA” en cada carpeta que incluye los archivos cifrados. Al abrirlo, el usuario encuentra la nota de rescate.
