Una nueva variedad de ransomware denominada 5ss5c encripta solo ciertos archivos y detiene los servicios y procesos relacionados con la base de datos.
Se cree que el ransomware 5ss5c fue desarrollado por actores de amenazas detrás del ransomware Satan , DBGer, Lucky y Iron.
Los actores de la amenaza siguen activamente desarrollando el ransomware, en abril pasado, agregaron la funcionalidad de explotación EternalBlue a este malware.
5ss5c ransomware
Blaze Security cree que 5ss5c está activo desde al menos desde noviembre de 2019 y el ransomware aún está en desarrollo.
El ransomware incluye un descargador, módulos de extensión. Utiliza Certutil para verificar que la descarga sea exitosa o no.
5ss5c incluye varios artefactos del ransomware Satan, incluye tácticas, técnicas y procedimientos, en comparación con Satan, 5ss5c utiliza múltiples empacadores para proteger sus cuentagotas y cargas.
Las siguientes son las herramientas que descarga:
- Spreader (EternalBlue y credenciales codificadas);
- Mimikatz y lo que parece un dumper / stealer de contraseñas;
- El ransomware.
Cómo funciona el ransomware
El ransomware contiene un módulo de escaneo ' SSSS_Scan '; y un módulo de cifrado ' 5ss5c_CRYPT '. Contiene una lista de excepciones, evite cifrar esos archivos y carpetas. Además, detiene el proceso de la base de datos, si lo hay.
 |
| Carpetas excluidas |
Cifra archivos solo con las siguientes extensiones, principalmente archivos comprimidos;
7z, bak, cer, csv, db, dbf, dmp, docx, eps, ldf, mdb, mdf, myd, myi, ora, pdf, pem, pfx, ppt, pptx, psd, rar, rtf, sql, tar, txt, vdi, vmdk, vmx, xls, xlsx, zip
Una vez que se completa el cifrado, crea un archivo de texto en lenguaje chino, traducido como "Cómo descifrar mis archivos_.txt" y la nota de rescate también en chino, traducido de la siguiente forma:
 |
| Nota de rescate |
"Algunos archivos se han cifrado.
Si desea recuperar el archivo cifrado, envíe (1) Bitcoins a mi billetera.
Si el pago no se completa dentro de las 48 horas desde el inicio del cifrado, la cantidad de descifrado se duplicará.
Si tiene otras preguntas, puede contactarme por correo electrónico.
Sus credenciales de descifrado son: Correo electrónico: [ 5ss5c@mail.ru ] ”
Es probable que el nuevo ransomware 5ss5c reemplace a Satan, pero necesita más mejoras.
Aquí puede encontrar los resultados de VirusTotal, descargador, esparcidor y ransomware.
Fuente: CyberSecurityNews
0 Comentarios