Noticias
PyLocky es un ransomware hecho con Python contra el aprendizaje automático
Los investigadores de Trend Micro han detectado una nueva familia de ransomware, a la que han decidido llamar PyLocky, que ha sido utilizada en diversos ataques llevados a cabo entre los meses de julio y agosto del presente año. Esta familia de malware se hacía pasar por el conocido ransomware Locky, ya que utilizaba su misma nota de rescate, aunque técnicamente no tienen nada que ver.
Como bien indica su nombre, PyLocky está escrito en el conocido lenguaje de programación Python y está empaquetado con la herramienta PyInstaller, que normalmente es utilizada para congelar programas escritos en Python en ejecutables independientes. Como características destacadas, PyLocky destaca por sus capacidades contra el aprendizaje automático y se apoya en el script de código abierto Setup Installer. Su esparcimiento se realiza utilizando el ya clásico spam a través de email, con los países europeos como objetivo general y Francia en particular.
Lo descrito en el párrafo anterior convierte a PyLocky y sus variantes en un malware muy peligroso, ya que es capaz de saltarse los métodos de análisis estáticos gracias a la combinación de Inno Setup y PyInstaller. A pesar de que la intensidad de la campaña de spam ha bajado en volumen, el número total de correos no deseados enviados aumentó con el tiempo.
Como la mayoría de servicios de correo electrónico lo ponen difícil para la distribución de binarios ejecutables e incluso de scripts en muchos casos, el ransomware no se encuentra adjuntado en los propios correos electrónicos, sino que las potenciales víctimas reciben un correo bajo técnicas de ingeniería social con un enlace en el contenido del mensaje hacia un fichero ZIP (Facture_23100.31.07.2018.zip) que contiene el ejecutable malicioso (Facture_23100.31.07.2018.exe). El ejecutable se encarga de soltar algunas bibliotecas de Python y C++, además del DLL de Python 2.7 Core.
Una vez que el proceso de infección se ha iniciado, PyLocky intenta cifrar una gran cantidad de contenidos almacenados en el ordenador, como ficheros de vídeo, imágenes, documentos, sonido, programas, juegos, bases de datos, etc. La campaña de spam y el hecho de ir contra bases de datos deja entrever que va sobre todo contra empresas, pero que tampoco descarta a los usuarios comunes en caso de poder infectar a alguno al abarcar todo tipo de ficheros correspondientes al ocio. Además, también abusa del Windows Management Instrumentation (WMI) para comprobar las propiedades del sistema afectado.
Para esquivar herramientas de análisis y protección como los sandboxes, PyLocky se queda “dormido” durante 999.999 segundos, lo que vienen a ser 11 días y medio, en caso de tener el sistema atacado 4GB de RAM. Las rutinas de encriptación están implementadas en la biblioteca PyCrypto y se apoya en el cifrador 3DES. Por otro lado, se encarga de enumerar las unidades lógicas del host y genera una lista de archivos con el fin de sobreescribirlos por versiones cifradas de los mismos, dejando en el proceso una notificación en inglés, francés, coreano o italiano. Otra de sus característica es la de comunicarse con un servidor de mando y control para enviar información del sistema infectado.
En MuySeguridad recomendamos eliminar cualquier correo electrónico de procedencia sospechosa en caso de no poderse verificar su origen (en el ejemplo que nos ha ocupado en esta ocasión, una factura). Aunque los ransomware hayan desaparecido, al menos aparentemente, del primer plano informativo frente a los mineros maliciosos, esto no quiere decir que su peligrosidad haya disminuido, sino que van incluyendo capacidades cada vez más avanzadas para saltarse las barreras más complejas que las empresas van incorporando en sus ciberdefensas.
Fuente: SecurityAffairs