Informe de Código Dañino sobre Conti v3 Ransomware.

Por Derechodelared

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-02/21 Conti v3 Ransomware.

En este informe quedan recogidas las muestras de código dañino identificadas por la firma Hash SHA-1 85C434FBAA94FB4D73D77429A32E88B184EC2F88 y 2DE7653D469BB2846A68775220B784153059E051. Ambos componentes se corresponden a distintas compilaciones de la versión v3 de Conti ransomware, según revela la ruta de símbolos de depuración (PDB) presente en los programas.

Características de Conti v3 Ransomware

El código dañino examinado posee las siguientes características:Es compatible con sistemas Windows de 32 y 64 bits.

  • Emplea cifrado y ofuscación para dificultar su detección.
  • Resuelve APIs de forma dinámica.
  • Elimina posibles hooks en las APIs que utiliza.
  • Cifra los ficheros de las unidades del sistema, utilizando algoritmos de cifrado simétrico (ChaCha8) y asimétrico (RSA).
  • Enumera y cifra recursos compartidos de red.
  • Crea un mensaje de rescate en cada directorio cifrado.
  • Finaliza procesos en ejecución.
  • Elimina las Shadow Copies del sistema.
  • No requiere de conexión a internet.

CCN-CERT_ID-02-21-Conti-v3-Ransomware