Troyano Zippo/CryZip. Un nuevo caso de extorsión criptoviral

Según informó hace una semana el laboratorio de Sophos, un nuevo especimen orientado al ransomware (extorsión criptoviral) ha sido puesto en circulación.

sophos zippo

Ya comentamos en este blog que la extorsión criptoviral es una técnica de fraude consistente en el cifrado y secuestro de cierto tipo de documentos, para cuya recuperación se exige posteriormente un rescate, habitualmente en forma de dinero. El secuestro se produce debido a que el especimen criptovírico tiene la capacidad de ejecutar una operación de cifrado sobre los documentos objetivo, evidentemente sin que el usuario de percate de nada.

La clave con la que se cifran los documentos mediante este especimen concreto es

C:\Program Files\Microsoft Visual Studio\VC98

Sobre este especimen, denominado por Sophos Troj/Zippo-A, se sabe que los responsables del troyano solicitan 300 dólares americanos para facilitar la clave que permite abrir los documentos secuestrados, y que el método de pago escogido por los responsables es la transferencia vía e-gold.com. El procedimiento de ofuscación escogido es la generación de un fichero ZIP con clave y las extensiones que el troyano localiza en el sistema víctima son:

arh, asm, arj, bas, c, cdr, cgi, chm, cpp, db, db1, db2, dbf, dbt,
dbx, doc, dpr, dsw, frm, frt, frx, gtd, gz, gzip, jpg, key, kwm, lst,
man, mdb, mmf, mo, old, p12, pas, pak, pdf, pgp, pl, pwl, pwm, rar,
rtf, safe, tar, txt, xls, xml, zip

.

Para cada fichero con esas extensiones presente en el sistema, el troyano crea un fichero con el nombre [nombre_fichero_original]_CRYPT_.ZIP, empleando la clave «C:\Program Files\Microsoft Visual Studio\VC98». Troj/Zippo-A reemplaza el fichero original con un fichero con texto en el que aparece el mensaje «Erased by Zippo! GO OUT!!!», ejecutando un intento de borrado posterior.

Según informa la casa, el especimen es poco relevante, no por sus efectos, sino por su escasa diseminación. La recomendación, en previsión de que otras variantes inunden la red, es mantener las soluciones antivirus actualizadas permanentemente.

2 comentarios sobre “Troyano Zippo/CryZip. Un nuevo caso de extorsión criptoviral

  1. Esto ya es el colmo de los virus… encima de fastidiar te vienen pidiendo recompensa… No sé donde vamos a llegar (que poca ética tiene la gente)

Comentarios cerrados.