- Comprensió del procés d'infecció
Un nou ransomware redunda després d'haver explotat la popular eina d'escriptori remota, AnyDesk. El ransomware, anomenat BlackRouter, es propaga amb una càrrega útil maliciosa per provocar danys massius.
Igual que Teamviewer (que també era explotat anteriorment), AnyDesk ofereix als usuaris un control bidireccional entre el sistema operatiu, és a dir, Linux, macOS, FreeBSD i Linux. Tanmateix, no es limita només al sistema operatiu basat en escriptori, i també inclou suport per a iOS i Android.
Com que BlackRouter es compon amb AnyDesk, que és una eina de confiança, aconsegueix evadir la detecció.
Comprensió del procés d'infecció
El funcionament del ransomware és que s'ha de descarregar amb AnyDesk dels diversos llocs de tercers que hi ha.
Una vegada descarregada i instal·lada, BlackRouter copia dos altres fitxers a l'ordinador per executar processos maliciosos, que són els següents:
- % Temp. D'usuari% \ BLACKROUTER.exe
- % Temp. D'usuari% \ ANYDESK.exe
AnyDesk.exe dóna accés al client al xat del client, realitza transferències de fitxers i també sessions de registre. Però això es limita a una versió anterior de AnyDesk i no a una de nova. Pel que fa a BLACKROUTER.exe, el ransomware xifra els sistemes en diferents tipus d'extensions, com a .xks, .gif, .pdf, etc.
Una vegada que el ransomware faci el que se suposa que farà, exigirà un valor de 50 dòlars de Bitcoin, a partir dels quals aparentment l'accés es concedeix a través de Telegram. A més, adverteix als usuaris que no apagin els seus equips, per evitar que els fitxers xifrats es bloquegin per sempre.
Ara per ara, és recomanable mantenir-se clar de totes les aplicacions de compartició d'escriptori remotes similars. Per molt problemàtica que sigui, és l’única solució de moment. A més, assegureu-vos d'utilitzar una VPN per mantenir-se en línia segura i anònima, tret que vulgueu ser supervisats per la gent que no sigui correcta. No? No ho pensava.
