En el 2017 estuvo vigente un Ransomware detectado bajo el nombre Python/Filecode.AX qué se caracteriza por encriptar la información contenido en una computadora, para después pedir un rescate para recuperarla. En el post anterior analizamos parte del código fuente, y ahora continuaremos con este tema.
Para que conozcas los pormenores sugerimos que leas el artículo anterior y puedas seguir la lectura de este tema.
Por esa razón y muchas otras más no menos importantes, es que te recomendamos este curso de python profesional, el cual lo imparten de manera presencial o en linea, con instructores expertos en este lenguaje de programación.
En esta variable se encuentra la lista de todas las extensiones consideradas por el malware como válidas. Todo lo que se encuentra en este listado será encriptado. Se especifican diferentes de archivos, con formatos específicos. Estas son algunas de las extensiones más comunes que se especificaron:
Como dijimos anteriormente, estas son algunas extensiones de los archivos más comunes que se incluyeron en el listado de este malware escrito en Python. Sin embargo, incluye otros formatos especializados, como las extensiones de softwares profesionales, además de los códigos fuente de programas.
En vista de las características y el tipo de archivos que se incluyen en el listado, los expertos aseguran que este malware pudo haber sido escrito pensando principalmente en atacar a organizaciones y empresas, quienes estarían más interesados en recuperar la información de sus ordenadores.
En este caso, estas funciones escritar en Python incluido en esta función es muy sencillo, pero es vital en el proceso malicioso del programa. Mediante esta función se aplica un hash que devuelve un resultado como identificador de la computadora huésped. Este hash es usado por Python/Filecode.AX para encriptar los archivos válidos.
Por lo tanto, aunque simple, le proporciona al programa los medios necesarios para pedir un rescate por la información contenida en el ordenador.
Esta función está destinada a cifrar los archivos originales. Aunque con tendrán el mismo nombre, su extensión cambiará a .RQUILT, pues esta es la extensión usada por este ransomware escrito en Python.
La función clave del programa, a saber run_crypt, contiene el código necesario para escribir un mensaje en un archivo txt. Mediante este se informa el propietario del equipo huésped sobre la forma en como podrán recuperar la información de su equipo.
Parte del código ha sido cifrado en base al algoritmo ROT-13. Los datos de este proceso son las direcciones de la billetera de Bitcoin donde podrá realizarse el pago la dirección email del creador del malware.
El contenido del mensaje como la cantidad solicitada como pago para descifrar los archivos y restaurarlos a su forma original en el equipo. El pago se solicita en bitcoins equivalente a una cantidad específica de dólares.
Aún existen algunos datos interesantes respecto al código de este malware escrito en Python. En el próximo articulo detallaremos la parte final de este código, con sus específicas acciones de cada función.
Diseño Web Grupo Codesi