Un nuevo Ransomware llamado B0r0nt0K está cifrando los sitios web de las víctimas y exigiendo un rescate de 20 bitcoin, o aproximadamente 75.000 dólares. Se sabe que este malware infecta a los servidores GNU/Linux, pero también puede ser capaz de encriptar a los usuarios que ejecutan Windows.

En un mensaje en el foro de BleepingComputer, un usuario declaró que el sitio web de un cliente estaba encriptado con el nuevo Ransomware. Este sitio web encriptado se ejecutaba en Ubuntu 16.04 y tenía todos sus archivos encriptados, renombrados y con la extensión .rontok añadida.

Según Michael Gillespie, cuando B0r0nt0K cifra un archivo, los datos cifrados se muestran como a continuación.

 

El nombre del archivo también se renombrará cifrando el nombre del archivo, base64 codificándolo, y finalmente añadiendo la extensión .rontok como nuevo nombre de archivo. Un ejemplo del nombre de un archivo cifrado es zmAAwbbilFw69b7ag4G4bQ%3D%3D%3D.rontok.

Aunque el usuario no pudo proporcionar una nota de rescate, sí pudo proporcionar la URL del sitio de pago ubicado en https://borontok.uk/. Al visitar este sitio, se le pedirá al usuario que presente su identificación personal.

Una vez que la ID es ingresada, el usuario será presentado con una página de pago que incluye el monto del rescate de bitcoin, la dirección de pago de bitcoin, y el correo electrónico info@botontok.uk que puede ser usado para contactar a los desarrolladores del malware. En este caso en particular, la demanda de rescate fue de 20 bitcoins, lo que equivale actualmente a unos 75.000 dólares. Los desarrolladores, sin embargo, parecen estar dispuestos a negociar el precio.

Al examinar el código fuente del sitio de pago, BleepingComputer notó el comentario incrustado “Vietnamese Hacker”. Aunque esto podría indicar que el desarrollador es vietnamita, no es ninguna prueba.

BleepingComputer se ha puesto en contacto con el autor de este software de rescate para obtener más información, pero aún no ha recibido respuesta.

Fuente: maslinux.es

Compartir