Apodado como ‘UNNAM3D’, el ransomware archiva los archivos de los usuarios que se encuentran en Escritorio, Documentos e Imágenes en archivos RAR individuales.
Después de infectar los sistemas, UNNAM3D le pide a las víctimas que compren tarjetas de regalo de Amazon de $ 50 y se las envíen al desarrollador de malware en Discord.
UNNAM3D se basa en WinRAR para archivar los archivos de usuario encontrados en el sistema infectado.
¿Como funciona?
El ejecutable de WinRAR se extrae en la carpeta ‘% Temp%’ del usuario. Se ejecuta un comando ‘% Temp% \ WinRar.exe -m -r -p [contraseña] [directorio]’ para archivar archivos con protección por contraseña.
Los archivos de carpetas como Documentos, Imágenes y Escritorio se cifran en archivos RAR individuales.
Después de esto, el ransomware presenta un mensaje que exige que se pague un rescate en forma de tarjetas de regalo de Amazon.
El desarrollador de UNNAM3D proporcionaría la contraseña de archivo una vez que las tarjetas de regalo se entreguen en su cuenta.
El panorama
En una conversación con BleepingComputer , el desarrollador del ransomware, que utiliza el alias Unnam3d, declaró que “iniciaron su campaña de correo electrónico hace tres días y la enviaron a aproximadamente 30 mil personas”.
“Esta campaña de correo electrónico pretende ser un correo electrónico de Adobe que indica que el Adobe Flash Player del destinatario no está actualizado y necesita actualizarse. Luego, estos correos electrónicos contienen un enlace a una actualización falsa de Adobe Flash Player que instala el ransomware”, agregó el desarrollador del ransomware.
UNNAM3D ransomware era muy limitado ya que en comparación a lo que vemos actualmente que utilizan diferentes tipos de cifrados irrompibles, este no cifraba realmente los archivos, sino que los movía todos a una carpeta que luego protegida con contraseña con WinRAR… y hay muchas maneras de romper una contraseña de WinRAR fácilmente, por lo que al parecer su desarrollador abandonara el proyecto, aunque se trataba de la version 2.
Y por otro lado había causado algo de revuelo al detectarse las campaña de malspam a usuarios de AT&T que comentaron en twitter de AT&T Cybersecurity y Microsoft
Solo el tiempo dirá si veremos una version 3 de UNNAM3D o no…
Ahora resulta que el Winrar ha sido blanco de los ciberdelincuentes para hacer de cebo.
Lo que llama a preocupación que otro elementos estan siendo usados que todavía no se sabe.
Gracias Marcelo por el artículo, lo que no me queda muy claro es si todos los winrar están corruptos por los ciberdelincuentes o no, si será mejor desinstalarlo completamente y cuales son las opciones para los que usamos mucho este programa.
Saludos.
Claro, Druedenhaus, eso lo se, pensaba o interpretaba que ya venía corrupto de años, las opciones a winrar era lo que preguntaba, pero bueno… se agradece la contestación. Saludos
UNNAM3D ransomware utiliza una copia de WinRAR internamente con el que junta todos los archivos de la victima en una carpeta y los guarda con contraseña.
A UNNAM3D le es indiferente si el usuario/victima tiene instalado o no una version de WinRAR ya que utiliza la suya propia y no se aprovecha de una vulnerabilidad, sino que funciona como lo podría hacer cualquier usuario manualmente, compactando y poniendo clave a una carpeta… solo que este luego pedía un rescate para entregar la clave.
.