SyncCrypt Ransomware oculto tras una imagen

Esta semana en el laboratorio de análisis de Iconsa hemos recibido informes de otro ransomware que se distribuye a través de spam. El correo electrónico recibido pretende ser un mensaje urgente e importante que viene con un documento adjunto, pero de hecho contiene un archivo de Windows Script (.wsf) dentro de un archivo zip. Una vez ejecutado descargará un archivo de imagen aparentemente no malicioso y posteriormente instalará un ransomware llamado SyncCrypt.

Método de Infección:

Tras la ejecución del archivo adjunto, se descarga un archivo jpg como se ve en el fragmento del código javascript mostrado:

Al intentar descargar el archivo jpg de las fuentes anteriores obtendrá este archivo que no es malicioso:

Pero tras un cuidadoso examen, este archivo jpg es un archivo que contiene los componentes del ransomware.

A continuación, estos archivos se descomprimen y se guardan en la siguiente ubicación:

  • %temp%/BackupClient/sync.exe [Detected as GAV: SyncCrypt.RSM (Trojan) ]
  • %temp%/BackupClient/readme.html
  • %temp%/BackupClient/readme.png

A continuación, intenta confundir a la víctima mostrando este mensaje de error después de ejecutar el script.

Mientras tanto, el ransomware cifra los archivos de la víctima como de costumbre y agrega .KK a todos los archivos cifrados. Y por último muestra la nota de ransomware con detalles sobre las instrucciones de pago:

Debido a la proliferación de estos tipos de ataques de malware, instamos a nuestros usuarios a realizar copias de seguridad de sus archivos con regularidad y a mantener sus equipos actualizados y protegidos.