El ransomware Philadelphia desarmado pocos días después de su aparición

Escrito por David Onieva
Actualidad

El investigador de seguridad Fabian Wosar ha informado recientemente que ya tiene un desencriptador de ficheros que nos permitirá abrir todos los archivos cifrados por una nueva familia de ransomware.

Apareció hace unos días y se ha llamado Philadelphia, por el momento se desconoce el número de infecciones que ha provocado este código malicioso, aunque se espera que aún no se haya extendido demasiado, lo que sí se sabe es que el creador de este código resulta ser el mismo que desarrolló el conocido ransomware Stampado.

Wosar publicó previamente otro desencriptador libre para el mencionado Stampado, y dado que ambas familias están muy relacionadas entre si estando las dos codificadas en el lenguaje de encriptación AutoIT, el investigador ha sido capaz de descifrar el modo de funcionamiento del nuevo lanzamiento infeccioso en poco tiempo, antes de que el daño fuese a mayores.

Las noticias sobre la existencia de este pusieron en alerta a los expertos en seguridad el pasado miércoles, cuando un usuario apodado Arslan0708 registró una conversación entre un hacker conocido como SkrillGuide2015 y el creador de Philadelphia, The Rainmaker. Arslan0708 afirma que fue capaz de interceptar una conversación entre los dos, aunque no ha dado muchos detalles de la misma, pero sí que descubrió esta nueva amenaza. Al parecer The Rainmaker estaba describiendo la nueva versión de su ransomware que acaba de terminar llamada Philadelphia y la vendía por 400 dólares, algo llamativo debido a que anteriormente vendió Stampado a un precio mucho más bajo, 39 dólares.

Funcionamiento del ransomware Philadelphia

Su creador elogiaba las nuevas características de Philadelphia haciendo especial hincapié en su sistema de comunicaciones C & C utilizando servidores intermediarios a modo de puente que posteriormente informan a un servidor maestro, método usado ya por troyanos de acceso remoto como Orcus y Blackshades.

Pago de rescate por ransomware

Sin embargo el analista de malware, Lawrence Abrams, argumenta que este sistema tiene un problema fundamental, y es que si estos puentes no se almacenan en redes anónimas como TOR, lo más probable es que sean serán descubiertos con rapidez.

Por el momento se ha detectado que el Ministerio de Hacienda de Brasil ya ha sido infectado con Philadelphia, el cual utiliza nombres al azar muy largos para sus archivos cifrados y con la extensión “.locked”. Además hay que tener en cuenta que este ransomware pide 0,3 Bitcoins para el rescate, alrededor de 210 dólares, y elimina un número predeterminado de archivos si la víctima se va retrasando en el pago del rescate. Por ello es importante que los infectados se decidan rápidamente si quieren pagar el rescate o descargar desencriptador de Wosar, ya que corren el riesgo de perder buena parte de la información guardada en su equipo.

Quizá también te interese:

No More Ransom, la web definitiva para luchar contra el ransomware

Satana, el nuevo ransomware que cifra tus datos y no permite iniciar sesión en Windows

Accede al listado con los principales ransomware, características y posibles soluciones

Fuente > Softpedia