By Eliza Popova
Los piratas informáticos intensificaron el virus informático al 11 de octubre al día siguiente después del enorme bombardeo de Ucrania por las tropas rusas. Las víctimas han encontrado software dañino durante una hora, y su lista coincide con Foxblade (también conocido como Hermeticwiper) y otros ataques de Rusia. El programa recibe acceso a cuentas de usuarios, luego cifra archivos, agrega una extensión "ENC" y requiere una redención a cambio de una herramienta de descifrado.
Para los intentos de abrir cualquiera de ellos, abre un documento de "bloc de notas" con una nota de malactores: "No intente descifrar sus archivos con software de terceros, puede conducir a una pérdida de información irreversible. No intente cambiar o cambiar el nombre de encriptado archivos. Los perderá ". Microsoft identificó varias características del virus de prestigio, que no se ha ocurrido previamente a los expertos en ciberseguridad.
Creen que la distribución de guerreros en una empresa no es un hecho común en Ucrania, y el ataque no está relacionado con ninguno de los 94 grupos activos que rastrean a Microsoft. A pesar de los métodos de despliegue similares, la campaña de prestigio es diferente de los recientes ataques devastadores utilizando Aprilaxe (ArguePatch)/Caddywiper o Foxblade (Hermeticwiper), que han tocado varias infraestructuras críticas de Ucrania en las últimas dos semanas.
El virus utiliza la biblioteca CryptoPP C ++ para cifrar AES en cada archivo apropiado. En el proceso de cifrado, una versión del recinto utiliza la siguiente clave abierta rígida RSA X509 (cada versión de Prestige puede tener una clave abierta única). El software también elimina las copias de seguridad de los archivos para que no puedan dejar de usar la función de recuperación del sistema.
Español
Українська
English
USA
Français
Deutsch
Italiano
Polski
Čeština
Slovensku
