Ransom32: Ransomware como servicio para Windows, Mac y Linux

Nada más comenzar el nuevo año ya tenemos una nueva pieza de malware que está dando que hablar porque se trata de un «Ransomware como servicio» que puede afectar por igual a equipos con Windows, Mac y Linux.

Los investigadores lo han apodado como Ransom32. Escrito en Javascript, utiliza Node.js y se ejecuta sobre la plataforma NW.js para cifrar los ficheros y exigir el rescate habitual de estos virus-estafa Ransomware.

Ransom32 tiene semejanzas con Cryptolocker, uno de los desarrollos más populares que se apodera de los archivos personales del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado incluida en un servidor secreto en Internet.

Este ransomware es enviado a través de un fichero comprimido RAR que se descomprime solo y utiliza el lenguaje de script de WinRAR para configurar el malware, un malware que se ejecuta en el inicio del sistema estableciendo una conexión con un servidor a través del cliente de Tor. Después los ficheros son cifrados y se pide un rescate por ellos.

Un vistazo a VirusTotal revela que Ransom32 no está bien detectado por la mayoría de los productos antivirus (en el momento de redactar la información solo por 7 de 54 productos AV).

Ransom32 se vende en la DarkWeb y ha sido etiquetado como un “ransomware como servicio”. De momento solo está afectando a sistemas Windows pero los investigadores creen que con algunas alternaciones podría afectar de la misma manera a otras plataformas como Mac y Linux.