Vovalex es el primer ransomware escrito en Dlang

Una nueva familia de ransomware llamada Vovalex se propagará a través de software pirateado disfrazado de populares utilidades de Windows, como CCleaner.

Suscríbete a nuestro canal de Telegram para ser el primero en conocer las noticias y nuestros materiales exclusivos sobre seguridad de la información.

El ransomware Vovalex tiene una característica especial que lo distingue de otros programas maliciosos de esta clase. En términos de funcionalidad y principio operativo, Vovalex no es diferente de otros ransomware: cifra los archivos de la víctima y luego la deja con una nota de rescate. Sin embargo, el investigador Vitaly Kremets, que descubrió un nuevo ransomware, reveló una característica interesante.

🏷️ D (o Dlang) es un lenguaje de programación de uso general con escritura estática, acceso a nivel de sistemas y sintaxis similar a C. Con el lenguaje de programación D, escriba rápido, lea rápido y corra rápido.

Según el experto, Vovalex puede ser el primer ransomware escrito en el lenguaje de programación D. Según la descripción en el sitio web oficial, los creadores de D (o Dlang) se inspiraron en C ++. Sin embargo, también se sabe que D toma prestados varios componentes de otros lenguajes. Como regla general, los ciberdelincuentes no usan Dlang, pero en este caso, como sugirió Vitaly Kremets, lo más probable es que los atacantes intenten eludir la detección de los programas antivirus.

2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or 'D'|x64 ~32mb Size

Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tp

XMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS

— Vitali Kremez (@VK_Intel) January 29, 2021

El equipo de MalwareHunterTeam fue el primero en tropezar con Vovalex y publicó una muestra del ransomware Vovalex en VirusTotal. Los chicos de BleepingComputer¹ analizó la muestra y llegó a la conclusión de que el ransomware se distribuye como una copia ilegal de la utilidad CCleaner para sistemas Windows. Durante el proceso de inicio, Vovalex abre una copia legítima del instalador CCleaner y coloca su copia con un nombre de archivo arbitrario en el directorio % Temp% .

Instalador falso de CCleaner

Después de eso, el malware comienza a cifrar los archivos en la computadora de la víctima agregando la extensión .vovalex. El último paso es copiar una nota con los requisitos en el escritorio: README.VOVALEX.txt. Los atacantes piden 0.5 XMR (criptomoneda Monero) para un decodificador. En dólares, esta cantidad es aproximadamente $ 69.54.

Aquí hay un resumen de Vovalex:

Nombre	Virus Vovalex
Contactos	[email protected]
Nota de ransomware	README.VOVALEX.txt
Extensión	.vovalex
Detección²	Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex
Síntomas	Tus archivos (fotos, videos, documentos) tienen una extensión .vovalex y no puedes abrirlos.
Herramienta de reparación	Ver si su sistema ha sido afectado por el virus Vovalex