Vovalex es el primer ransomware escrito en Dlang

Una nueva familia de ransomware llamada Vovalex se propagará a través de software pirateado disfrazado de populares utilidades de Windows, como CCleaner.

Brendan Smith

IT Security Expert

It is better to prevent, than repair and repent!

When we talk about the intrusion of unfamiliar programs into your computer’s work, the proverb “Forewarned is forearmed” describes the situation as accurately as possible. Gridinsoft Anti-Malware is exactly the tool that is always useful to have in your armory: fast, efficient, up-to-date. It is appropriate to use it as an emergency help at the slightest suspicion of infection.

DOWNLOAD NOW

Gridinsoft Anti-Malware 6-day trial available.
EULA | Privacy Policy | Gridinsoft

Subscribe to our Telegram channel to be the first to know about news and our exclusive materials on information security.

El ransomware Vovalex tiene una característica especial que lo distingue de otros programas maliciosos de esta clase. En términos de funcionalidad y principio operativo, Vovalex no es diferente de otros ransomware: cifra los archivos de la víctima y luego la deja con una nota de rescate. Sin embargo, el investigador Vitaly Kremets, que descubrió un nuevo ransomware, reveló una característica interesante.

🏷️ D (o Dlang) es un lenguaje de programación de uso general con escritura estática, acceso a nivel de sistemas y sintaxis similar a C. Con el lenguaje de programación D, escriba rápido, lea rápido y corra rápido.

Según el experto, Vovalex puede ser el primer ransomware escrito en el lenguaje de programación D. Según la descripción en el sitio web oficial, los creadores de D (o Dlang) se inspiraron en C ++. Sin embargo, también se sabe que D toma prestados varios componentes de otros lenguajes. Como regla general, los ciberdelincuentes no usan Dlang, pero en este caso, como sugirió Vitaly Kremets, lo más probable es que los atacantes intenten eludir la detección de los programas antivirus.

2021-01-29: 🆕🔥#Vovalex #Ransomware … in #Dlang or 'D'|x64 ~32mb Size
Probably First Documented Ransomware Written in 'D'
Dlang Section Headers with "dmd" Compiler
1⃣._deh
2⃣.dp
3⃣.minfo
4⃣.tp
XMR Monero Extortion |🤔D Likely Used to Bypass AV Detection
h/t @malwrhunterteam pic.twitter.com/XBjpsrbMLS
— Vitali Kremez (@VK_Intel) January 29, 2021

El equipo de MalwareHunterTeam fue el primero en tropezar con Vovalex y publicó una muestra del ransomware Vovalex en VirusTotal. Los chicos de BleepingComputer¹ analizó la muestra y llegó a la conclusión de que el ransomware se distribuye como una copia ilegal de la utilidad CCleaner para sistemas Windows. Durante el proceso de inicio, Vovalex abre una copia legítima del instalador CCleaner y coloca su copia con un nombre de archivo arbitrario en el directorio % Temp% .

Instalador falso de CCleaner

Después de eso, el malware comienza a cifrar los archivos en la computadora de la víctima agregando la extensión .vovalex. El último paso es copiar una nota con los requisitos en el escritorio: README.VOVALEX.txt. Los atacantes piden 0.5 XMR (criptomoneda Monero) para un decodificador. En dólares, esta cantidad es aproximadamente $ 69.54.

Aquí hay un resumen de Vovalex:

Nombre	Virus Vovalex
Contactos	VovanAndLexus@cock.li
Nota de ransomware	README.VOVALEX.txt
Extensión	.vovalex
Detección²	Trojan-Ransom.Vovalex (A), Ransom:Win64/Vovalex.MK!MTB, TrojanRansom.Win64.Vovalex
Síntomas	Tus archivos (fotos, videos, documentos) tienen una extensión .vovalex y no puedes abrirlos.
Herramienta de reparación	GridinSoft Anti-Malware Ver si su sistema ha sido afectado por el virus Vovalex