VirLok, un ransomware que además infecta

Conocido desde hace unos meses, Virlock cambia el concepto del ransomware tradicional añadiendo funciones de infección y polimorfismo, lo que dificulta su detección.

A finales de la semana pasada Trend Micro alertaba sobre VirLock, al que que bautizaba como un “ramsonware polimórfico” que no sólo bloquea el ordenador para pedir un rescate sino que además infecta archivos.

Jaaziel Carlos, Jonh Chua, y Rodwin Fuentes, analistas de Trend Micro, explican en el post que VirLock tiene las características básicas de un ransomware, como es su capacidad para bloquear el ordenador deshabilitando explorer.exe e impidiendo el uso de taskmgr.exe. Pero además incorpora una nueva funcionalidad de infección de archivos.

El virus ya fue analizado el pasado mes de diciembre por investigadores de ESET, que también dedicaron un post en su blog a VirLock.

Explicaban los investigadores de ESET que hay, o había, dos tipos de ransomware, los LockScreens y los Filecoders; aunque se habían visto algunos ejemplos de incorporaban ambas funciones, es decir: cifrar los archivos y además bloquear la pantalla mostrando mensajes que demandan el pago de un rescate.

VirLock comprueba las máquinas infectadas por tipos de archivos específicos, incluidos including .exe, .doc, .xls, .pdf, .ppt, .mdb, .zip, .rar, .mp3, .mpg, .wma, .png, .gif, .bmp, .jpg, .jpeg, .psd, .p12, .cer, .crt, .p7b, .pfx and .pem. Si los encuentra los cifra e incrusta el archivo en el cuerpo del malware, añadiendo una sección .RSRC. Esto no sólo hace que los atacantes tengan más control sobre el sistema de la víctima, sino que la eliminación del ransomware y la restauración de los archivos sea más difícil, explican en el post de Trend Micro.

Una vez infectados, los archivos tienen la capacidad de extenderse a otros sistemas a través de una red, o incluso ser transferidos a través de unidades de almacenamiento externo. Además, VirLock es polimórfico, lo que quiere decir que el programa malicioso cambia continuamente para evitar su detección.

“Desde un punto de vista técnico, probablemente la parte más interesante de VirLock es que es un virus polimórfico, lo que significa que su cuerpo será diferente para cada archivo infectado y por cada vez que sea ejecutado. Es más, nuestro análisis ha revelado diferentes niveles de cifrado, lo que sugiere que el autor del malware realmente ha jugado con el código”, decía Robert Lipovsky, Investigador de malware de ESET, en el post de la compañía.

Aunque por el momento no está claro quién está detrás de VirLock, Trend Micro apunta a que fue utilizado en uno de los ataques lanzados por la ciberbanda Carbanak para defraudar cerca de 1.000 millones de dólares a cien bancos en más de 30 países.

Se esperan nuevas variantes de VirLock en el futuro.