Hackers encuentran debilidades en las configuraciones del Servicio de Escritorio Remoto para ejecutar Ransomware en el equipo victima.
Recientemente, un grupo de investigadores de CiberSeguridad, dijeron que un grupo de hackers han distribuido una nueva variante del Ransomware LockCrypt, tomando ventaja de configuraciones débiles en servicios de sistema, estos relacionados al escritorio remoto. Para poder llevar a cabo el ataque, buscaron computadores con el servicio de Escritorio Remoto habilitado, ellos se conectaron a estos equipos y usaron herramientas de extracción por fuerza bruta para poder hacerse de la Password.
Estando dentro del sistema, los hackers ejecutan este ransomware, el cual se inicia directamente encriptando los datos que están en el disco duro y luego, solicitan un pago por rescate para entregar la clave que desencripta los datos.
Este Ransomware, fue inicialmente distribuido desde diciembre del 2017, y lamentablemente no había sido detectado. Cuando este ransomware encripta los datos del usuario, aplica codificación Base64 complicando su identificación, este agrega la extensión 1btc. a los archivos del usuario.
Adicionalmente, este crea una nota de rescate en la cual se requiere contacto lo mas pronto posible con los hacker para poder negociar el precio (se cree por la extensión del archivo pueda ser de 0.1 btc o 1 btc), también pueden aplicar una oferta para poder desencriptar varios computadores al mismo tiempo.
Desafortunadamente, esta data no se recupera gratis, y no existe garantía que la llave entregada por los hackers desencripte los datos.
