FTCode Ransomware ahora se actualiza para robar contraseñas de usuarios guardados de navegadores

Un ransomware perdido hace mucho tiempo, que se cree que murió en 2013, recuperó su vida en 2019 y ahora está afectando a los usuarios con técnicas sofisticadas. FTCode ransomware puede infectar y cifrar archivos de usuario a través de Powershell, sin la necesidad de descargar componentes adicionales y facilitando a los atacantes agregar nuevas funciones.

Spamming, verificación y robo

Se dice que el ransomware FTCode propaga su malware a través del correo no deseado, simulando que los usuarios hacen clic en documentos de Word como facturas, escaneos, currículums, etc. El malware se identifica como JasperLoader, un programa de descarga que cifra archivos. Además, el malware aprovecha Powershell para ejecutarse y está disponible de forma predeterminada en versiones anteriores a Windows 7 y Windows 2008 R2.

Robo de credenciales guardadas en Google Chrome (Zscaler) a través de Bleeping Computer

Este ransomware es capaz de robar contraseñas guardadas de navegadores web como Mozilla Firefox, Internet Explorer, Chrome, etc. y de clientes de correo electrónico como Outlook de Microsoft y Thunderbird de Mozilla. Con el esquema de codificación base64, el malware debe llevar los nombres de usuario y las contraseñas guardados de los navegadores / clientes de correo electrónico al atacante bajo su mando.

A pesar de enviar spam a los usuarios, no cifra archivos a menos que se cumplan sus requisitos previos. Están comprobando Windows Killswitch and Recovery y desactivándolos para su persistencia. Primero, el malware escanea C: Users Public OracleKit w00log03.tmp, un asesino. Después de descubrir esto, generará una clave de cifrado, que se enviará al servidor C2 del atacante y bloqueará los archivos.

Archivos cifrados por FTCode

Más tarde comprueba Recuperación de Windows deshabilitar, lo que hace que sea casi imposible para el usuario recuperar archivos bloqueados. Después de ocuparse de todo esto, comenzará a cifrar todos los archivos y colocará una extensión como .FTCODE, seguida de un archivo READ_ME_NOW.html para que la víctima sepa que está incluido. El atacante exige un rescate de $ 500 para el descifrador, ¡pero hay una empresa que ofrece esto gratis!

Certego, una empresa de seguridad que reveló la reactivación de este ransomware también ofrece a las víctimas una solución gratuita. El descifrador de este malware se publica en su Blog.