Se ha descubierto un nuevo ransomware llamado Qwerty que utiliza el programa de cifrado GnuPG o GPG legítimo para encriptar los archivos de una víctima.

Los expertos en seguridad de MalwareHunterTeam han conseguido averiguar información relacionada con esta amenaza y han informado que GnuPG es un programa legítimo que utilizan de forma ilegal los desarrolladores de Qwerty Ransomware.

Según se sabe hasta el momento, la forma de actuar de los ciberdelincuentes es realizando un escaneo de los puertos abiertos en el equipo y la existencia de servicios de escritorio remoto activos y con una seguridad deficiente.

Esta vulnerabilidad consiste en un paquete de archivos individuales que se ejecutan juntos para cifrar un PC. Este paquete consta del ejecutable GnuPG gpg.exe, cuya ejecución carga las claves y ejecuta un archivo JavaScript que se utiliza para iniciar el programa find.exe. Al ejecutar find.exe, lanzará una serie de comandos al PC de la víctima y comenzarán a cifrarse.

Este comando encriptará el archivo usando la clave pública importada y luego lo guardará como un nuevo archivo con el mismo nombre, pero ahora con la extensión .qwerty añadida.

Después de encriptar un archivo, ejecutará shred.exe en el archivo original para sobrescribirlo. En cada carpeta en la que se encripte un archivo, se creará una nota de rescate llamada README_DECRYPT.txt que contiene instrucciones para contactar a cryz1@protonmail.com para recibir instrucciones de pago.

Este ransomware es seguro y no hay forma de descifrar los archivos de forma gratuita ya que solo el atacante tiene la clave privada de descifrado.

Enlace a noticia