Ako Ransomware: otro día, otra infección que ataca a las empresas

Nuevos y antiguos  ransomware dirigidos a empresas siguen apareciendo todos los días a medida que se sienten atraídos por las perspectivas de pagos de rescate de un millón de dólares. Un ejemplo de esto es el ransomware llamado Ako que está dirigido a toda la red en lugar de solo estaciones de trabajo individuales.

Ako fue descubierto ayer cuando una víctima publicó  en los foros de soporte de BleepingComputer sobre un nuevo ransomware que había cifrado tanto su escritorio Windows 10 como su servidor Windows SBS 2011.


En cuanto a VirusTotal, pude encontrar una muestra anterior  del ransomware  y la compartí con Vitali Kremez de SentinelLab, quien se ofreció a ayudar a analizarlo. Poco después, se encontraron muestras más nuevas [ 1 , 2 ] que nos permitieron ver una imagen más amplia de cómo funciona este ransomware.

Según Kremez, quien realizó el análisis del ransomware, Ako comparte algunas similitudes con MedusaLocker que ha llevado a las personas a llamarlo MedusaReborn.

"Esta es la nueva oferta de ransomware como servicio en desarrollo con la versión 0.5 que parece estar inspirada en el comportamiento de Medusa Locker, incluido su comportamiento anti-Windows y el registro mapeado de la unidad deshabilitada, el registro y el aislamiento de máquinas específicas para el cifrado", dijo Kremez. le dijo a BleepingComputer.

Los operadores de ransomware confirmaron esto diciendo a BleepingComputer por correo electrónico que el ransomware Ako es su propio programa.

"Vemos noticias sobre nosotros. Pero eso está mal. Sobre MedusaReborn. No tenemos nada que ver con Medusa ni con ninguna otra cosa. Este es nuestro propio producto: Ako Ransomware, bueno, esto es si, por supuesto, está interesado".

Para empeorar las cosas, cuando preguntamos a los operadores de ransomware si están robando datos antes de cifrar, nos dijeron "Sí, es nuestro trabajo".


Cuando se inicia, Ako primero ejecutará los siguientes comandos para eliminar instantáneas de volumen, borrar copias de seguridad recientes y deshabilitar el entorno de recuperación de Windows.


También creará el valor del Registro  EnableLinkedConnections  en la   clave de registro HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System y lo establecerá en 1 . Esto se hace para asegurarse de que las unidades asignadas sean accesibles incluso en un proceso iniciado por UAC.

El ransomware ahora comenzará a cifrar archivos en el dispositivo.

Al cifrar archivos, Ako cifrará todos los archivos que no coinciden con las extensiones ".exe ,. dll, .sys, .ini, .lnk, .key, .rdp" y cuyas rutas no contienen las siguientes cadenas:


Cuando se encripta un archivo, se le cambiará el nombre y se agregará una extensión generada aleatoriamente al nombre del archivo. Por ejemplo, 1.doc se cifraría y cambiaría su nombre a 1.doc.Ci3Qn3 como se muestra a continuación.


Adjunto al contenido de cada archivo también habrá un  marcador de archivo CECAEFBE  que puede usarse para identificar que este archivo fue encriptado por Ako. Este marcador de archivo se puede ver en el editor hexadecimal de un archivo cifrado a continuación.


Durante el proceso de cifrado, Ako utilizará la función GetAdaptersInfo para obtener una lista de adaptadores de red y sus direcciones IP asociadas.

El rescate realizará un escaneo de ping de cualquier red local utilizando la función IcmpSendEcho para crear una lista de máquinas que responden.

Cualquier máquina que responda, también se verificará si hay redes compartidas para encriptar.

Cuando finalice el ransomware, la clave de cifrado utilizada para cifrar los archivos de la víctima se cifrará y almacenará en un archivo llamado  id.key en el escritorio de Windows de la víctima.


También en el escritorio habrá una nota de rescate llamada ako-readme.txt . Esta nota contiene una URL para acceder al sitio de pago de Ako Tor para obtener instrucciones de pago. Este sitio está ubicado en: 

Observe cómo la nota de rescate establece que "Su red ha sido bloqueada" para indicar que están dirigidos a redes y no a dispositivos individuales. Cuando les preguntamos a los desarrolladores de ransomware si se dirigen tanto a redes como a estaciones de trabajo individuales, les dijeron a BleepingComputer que "solo están trabajando en la red".

En la nota de rescate se incluye una 'Identificación personal' que, cuando se decodifica, se convierte en un objeto con formato JSON que contiene la extensión, la clave cifrada, la configuración de la red, un subid utilizado probablemente para los afiliados y la versión del ransomware. La versión está actualmente en .5.


Cuando una víctima accede al sitio de Tor, deberá ingresar su identificación personal para ver la demanda de rescate y las instrucciones.


Este sitio de pago Tor también incluye un servicio de chat y la capacidad de descifrar 1 archivo, que es un poco bajo ya que la mayoría de las infecciones de ransomware permiten el descifrado de al menos tres archivos.

Desafortunadamente, en un breve análisis realizado por el propietario de ID-Ransomware, Michael Gillespie, el método de cifrado utilizado por Ako parece ser seguro.

Si se descubre una debilidad, nos aseguraremos de publicar más información. Por ahora, si desea hablar sobre este ransomware o necesita ayuda, puede utilizar nuestro tema de Soporte y Ayuda de Ako Ransomware .

Además, no se sabe cómo se distribuye este ransomware, pero lo más probable es que sea a través de servicios de Escritorio remoto pirateados. Si este ransomware le afecta, nos interesaría saber cómo se infectó su red.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta