Malware

StalinLocker: El malware elimina sus archivos a menos que ingrese el código correcto

Daniel

2 min read
StalinLocker: El malware elimina sus archivos a menos que ingrese el código correcto

Un nuevo screenlocker / wiper en desarrollo llamado StalinLocker, o StalinScreamer, fue descubierto por MalwareHunterTeam que le da 10 minutos para ingresar un código o intentará eliminar el contenido de las unidades en la computadora. Mientras se ejecuta, se mostrará la pantalla que muestra a Stalin mientras se reproduce el himno de la URSS y se muestra una cuenta atrás hasta que se eliminan los archivos.

Cuando se ejecuta, StalinLocker realizará las siguientes acciones:

  • Extraiga el archivo "USSR_Anthem.mp3" en la carpeta %UserProfile%\AppData\Local y reprodúzcalo. Este himno es el mismo que se escucha en este video de YouTube, pero de calidad mucho peor.
  • Se copiará a %UserProfile%\AppData\Local\stalin.exe y creará una ejecución automática llamada "Stalin" que inicia el screenlocker/wiper cuando el usuario inicia sesión en el ordenador.
  • Creará %UserProfile%\AppData\Local\fl.dat y escribirá la cantidad actual de segundos que quedan divididos entre 3. Así que cada vez que inicie el programa, la cuenta atrás será significativamente menor.
  • Intentar finalizar procesos que no sean Skype o Discord.
  • Terminar Explorer.exe y taskmgr.exe.
  • Intenta crear una Tarea programada llamada "Actualización del controlador" para iniciar Stalin.exe. Esta parte del código está arrojando errores actualmente.

StalinLocker mostrará la pantalla de bloqueo anterior que contiene una cuenta regresiva de 10 minutos hasta que se eliminen sus archivos o ingrese un código. Según MalwareHunterTeam, este código se obtiene restando la fecha actual de cuando el programa se ejecutó antes de la fecha 1922.12.30. Si el usuario ingresa el código correcto, el limpiador saldrá y eliminará la ejecución automática.

StalinLocker-codigo

Por otro lado, si el código no se ingresa antes de que la cuenta regresiva llegue a cero, el screenlocker intentará eliminar todos los archivos en cada letra de unidad que se encuentre en la computadora. Esto se hace pasando por todas las letras de la unidad de la A a la Z y eliminando las que están accesibles como se muestra a continuación.

StalinLocker-codigo-fuente

Este malware está actualmente en desarrollo, pero podría convertirse fácilmente en un estado funcional. Afortunadamente, la mayoría de los proveedores de seguridad están detectando esto ya sea a través de definiciones o heurísticas, así que asegúrese de tener un programa antivirus instalado y actualizado con las últimas definiciones.

Hashes:

SHA256: 853177d9a42fab0d8d62a190894de5c27ec203240df0d9e70154a675823adf04

Archivos asociados:

%UserProfile%\AppData\Local\fl.dat
%UserProfile%\AppData\Local\stalin.exe
%UserProfile%\AppData\Local\USSR_Anthem.mp3

Entradas de registro asociadas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe