En el último par de días el sitio ID Ransomware sufrió dos ataques DDoS consecutivos, cuya responsabilidad fue asumida por el creador del malware cifrador Enjey. Según el delincuente, el ataque era una venganza por que el investigador Michael Gillespie, creador de ID Ransomware, desarrolló un descodificador para Enjey.
Como resultado de la primera oleada de ataques, el sitio dejó de funcionar durante varias horas, porque a pesar de que el ataque DDoS se neutralizó con rapidez, el proveedor desactivó el sitio como medida de precaución, y lo volvió a activar unas horas después de concluido el ataque.
El atacante usó un método no estándar para hacer el DDoS. El sitio ID Ramsonware fue creado para que los usuarios puedan determinar el tipo de cifrador con el que tropezaron al descargar copias de la nota de rescate y del archivo cifrado. El creador de Enjey lanzó el ataque justo contra esta sección del sitio, solicitando en un ciclo interminable la descarga de dos archivos. En el pico del ataque la cantidad de solicitudes de descarga ascendió a 200 000 por hora; en la segunda etapa del ataque, a 20 000 cada media hora.
El vengativo creador de virus dijo que estaba molesto de que ID Ransomware hubiese identificado el malware desarrollado por él, aunque lo más probable es que le haya provocado un mayor grado de malestar que el creador del sitio haya sido capaz de crear un descifrador para el malware Enjey, creado hace muy poco tiempo.
En realidad, Enjey es un cifrador bastante simple, opinión que han expresado los numerosos investigadores que lo analizaron. El proceso de cifrado es bastante primitivo y de uso generalizado: se trata del algoritmo AES-256, que genera un identificador único para cada víctima y lo envía a un servidor remoto, junto con la clave de cifrado.
Al mismo tiempo, el malware elimina las copias ocultas (shadow copies) de los bloques para que sea imposible recuperar los archivos ni siquiera con la ayuda de Restaurar sistema o de software de recuperación de datos. El cifrador afecta a casi todos los archivos, excepto algunos en determinados directorios. A los archivos cifrados se les añade la extensión .encrypted.contact_here_me@india.com.enjey.
En este momento, el servidor de comando Enjey está desactivado por su propio creador, ya que al haber un descifrador, ya no tiene sentido seguir difundiendo el malware. El desarrollador del malware informó que actualmente está trabajando en Enjey 2.0.
Fuentes: Threatpost
Escritor de virus se ofende con investigadores de seguridad informática y les lanza un ataque DDoS