El ransomware CryptoJoker no es cosa de risa

Se ha descubierto un nuevo ransomware llamado CryptoJoker que codifica los datos mediante el cifrado AES-256 y luego exige un rescate en bitcoins para recuperar los archivos. El instalador del CryptoJoker se disfraza como un archivo PDF, distribuido por correo electrónico. Una vez que se ejecuta el instalador, descarga o genera numerosos archivos ejecutables en la carpeta % Temp % y uno en la carpeta % AppData %. procesos de regedit, Taskmgr y terminarles

CryptoJoker es un ransomware lanzado recientemente que usa encriptación AES-256 para encriptar sus datos y le pide que pague un rescate si quiere recuperar sus archivos. Si ha recibido un mensaje en su pantalla del ordenador en inglés y ruso diciendo que sus archivos han sido encriptados, su ordenador también ha sido afectado. Le recomendamos encarecidamente leer este artículo y aprender más acerca del ransomware CryptoJoker antes de tomar ninguna decisión. Para empezar, debe saber con qué está tratando.

CryptoJoker, que así es como se conoce, afecta a equipos con sistema operativo Windows y se distribuye como si de un PDF se tratara.

El ransomware se hace pasar por un PDF, como un archivo.pdf.exe

Cuando cryptolocker cifra sus datos se explorará todas las unidades, incluidas las unidades de red asignadas, en el ordenador de la víctima para archivos con determinadas extensiones.

Cuando se descubre una extensión específica se cifrará el archivo y cambiar el nombre del archivo que por lo que tiene una extensión .crjoker anexa a la misma.

Por ejemplo, dog.jpg se convertiría Dog.jpg.crjoker.

La lista de extensiones que los objetivos cryptolocker son: 
 

.txt, , .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf

El ransomware CryptoJoker también crea un archivo en la carpeta %Temp% y lo llama new.bat, el cual es supuestamente para ejecutar varios comandos que elimina las Shadow Volume Copies y desactiva el auto reparador de inicio de Windows. Básicamente, esto se hace para hacer imposible al usuario usar Shadow Volume Copies para recuperar sus archivos.

Por último, el ransomware CryptoJoker muestra un mensaje en su pantalla del ordenador en inglés y ruso que dice que debe escribir un email a file987@sigaint.org, file9876@openmail.cc o file987@tutanota.com si quiere recibir las instrucciones de pago para recuperar sus archivos. Aquí tiene una nota parecida a la del rescate:


Hay dos tipos de personas, los que saben lo que es una extensión y los que no:

1. Los que saben:
a) Y tienen las extensiones ocultas: verán un archivo.pdf ¿qué hace ahí una extensión si las tengo ocultas? = sospecha.
b) Y las tienen visibles: verán un archivo.pdf.exe Están viendo un .exe = sospechan.

2. Los que no saben: tres letras al final del archivo no les dice nada, así que da igual todo.

Fuente:
http://www.bleepingcomputer.com/news/security/the-cryptojoker-ransomware-is-nothing-to-laugh-about/

Vía:
https://www.meneame.net/m/tecnolog%C3%ADa/ransomware-cryptojoker-no-cosa-risa-eng