PelDox

De CiberWiki

PelDox es un tipo de ransomware que cifra archivos en los sistemas infectados y les añade la extensión “.lczx”, impidiendo su apertura. A diferencia de otros ransomware tradicionales, PelDox no presenta una nota de rescate explícita, sino que muestra un mensaje a pantalla completa en el que afirma haber protegido los archivos del usuario frente a posibles robos, y solicita un "pago voluntario" a cambio de instrucciones para la recuperación de datos.

Este ransomware fue descubierto tras analizar muestras enviadas a VirusTotal y, según los análisis realizados, no existe un descifrador gratuito disponible. El mensaje dirigido a las víctimas incluye un contacto vía Telegram (@peldax) y advierte no apagar el equipo, alegando que podría dañar los archivos. Sin embargo, no hay garantía de que el pago conduzca a la recuperación de los datos, y se desaconseja colaborar con los atacantes.

PelDox suele propagarse mediante técnicas como correos de phishing con archivos adjuntos maliciosos, sitios web de torrents, publicidad engañosa o programas ilegítimos de activación de software. Para prevenir infecciones, se recomienda mantener copias de seguridad en ubicaciones seguras, usar software antivirus confiable y evitar abrir archivos o enlaces sospechosos.

Funcionamiento

Identificación General

Nombre: PelDox

Tipo: Ransomware (bloqueador y cifrador)

Extensión de archivos cifrados: .lczx

Canal de contacto: @peldax en Telegram

Propagación conocida: Descargas maliciosas, crack software, sitios de torrents, campañas de phishing.

Fase 1 – Ejecución Inicial

Una vez que el usuario ejecuta el archivo malicioso (por lo general disfrazado como un ejecutable de utilidad o activador de software):

  • PelDox se autocopia en un directorio del sistema, a menudo en: o en una carpeta temporal como %TEMP%.
  • Puede cambiar su nombre y establecer persistencia utilizando claves en el registro de Windows:
  • En este punto, desactiva o mata procesos de antivirus comunes utilizando taskkill, o mediante APIs de Windows como OpenProcess y TerminateProcess.

Fase 2 – Escaneo y Cifrado de Archivos

PelDox realiza un escaneo de unidades disponibles (tanto locales como conectadas en red), buscando archivos con extensiones comunes como .docx, .xlsx, .jpg, .png, .pdf, .txt, .db, entre otros.

  • Algoritmo de cifrado: Si bien el ransomware no tiene un descifrador público disponible, el comportamiento observado sugiere el uso de cifrado simétrico AES o una combinación híbrida (AES para archivos individuales y RSA para la clave maestra).
  • Modificación de archivos:
    • Renombra los archivos afectados añadiendo la extensión .lczx.
    • Por ejemplo: foto.jpgfoto.jpg.lczx
  • Sobrescribe archivos originales eliminando metadatos y destruyendo copias temporales para impedir la recuperación con herramientas forenses.
  • El cifrado se realiza a través de APIs nativas de Windows como: con buffers para cifrado en memoria usando bibliotecas embebidas.

Fase 3 – Bloqueo del Sistema y Mensaje de Rescate

Una vez finalizado el cifrado, PelDox:

  • Oculta el escritorio del usuario usando técnicas de superposición (full screen overlay).
  • Muestra una ventana en pantalla completa, bloqueando el acceso al sistema con un mensaje que afirma haber "protegido" los archivos, y solicita una "donación voluntaria" para restaurarlos.

Ejemplo parcial del mensaje:

  • También incluye advertencias como:

Este mensaje no se presenta como una típica nota de rescate en texto, sino como un bloqueo visual con UI personalizada.

Persistencia y Prevención de Recuperación

Durante la infección, PelDox realiza lo siguiente:

  • Elimina copias de seguridad utilizando:
  • Desactiva el inicio seguro y configuraciones de restauración del sistema con:
  • Puede evitar que el administrador cierre el proceso mediante manipulación de privilegios (token stealing).

Comunicación Externa

PelDox no siempre realiza conexión de red, pero algunas variantes pueden:

  • Enviar información básica del sistema a un servidor de comando y control (C2).
  • Usar APIs públicas para obtener la IP externa, por ejemplo:
  • Usar Telegram como canal alternativo de comunicación manual con la víctima (@peldax).

Impacto y consecuencias

Impacto sobre los sistemas comprometidos

Cifrado de archivos

PelDox Ransomware ejecuta un algoritmo de cifrado simétrico-asimétrico (generalmente AES-256 combinado con RSA-2048 o RSA-4096) para bloquear el acceso a los archivos del sistema. El ransomware selecciona directorios específicos (como Desktop, Documents, Pictures, unidades de red, entre otros) y cifra todos los archivos con extensiones comunes, reemplazando su extensión original por una personalizada (en algunos casos observados: .peldox).

Durante este proceso:

  • Los archivos originales son sobrescritos o eliminados.
  • Se genera una clave única de cifrado por víctima, la cual es cifrada con la clave pública del atacante.
  • No es posible recuperar los archivos sin la clave privada que solo posee el atacante, salvo que el algoritmo tenga fallos.

Eliminación de respaldos locales

PelDox ejecuta comandos para eliminar puntos de restauración del sistema y copias de seguridad:

Esto asegura que el usuario no pueda restaurar el sistema a un estado anterior sin recurrir al rescate.

Persistencia y evasión

El ransomware puede modificar claves de registro para ejecutarse en cada arranque del sistema:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Instalación de un servicio o tarea programada.

También puede utilizar técnicas de evasión como:

  • Obfuscación del binario mediante packers (UPX, Themida, etc.).
  • Detención de servicios relacionados con antivirus y software de respaldo.
  • Ejecución en modo "silent" o bajo procesos legítimos (procesos padre: explorer.exe, svchost.exe).

Impacto operativo y de seguridad

Paralización de operaciones

El cifrado de archivos en servidores de aplicaciones, bases de datos, documentos compartidos o estaciones críticas de trabajo genera una interrupción inmediata de las operaciones. Dependiendo del entorno, los efectos pueden incluir:

  • Caída de servicios de atención al cliente.
  • Interrupción de la producción (en entornos industriales o logísticos).
  • Inaccesibilidad a datos clínicos, académicos o financieros.

Pérdida de disponibilidad

El impacto directo se traduce en una pérdida del principio de disponibilidad de la información (modelo CIA: Confidencialidad, Integridad, Disponibilidad), ya que los archivos esenciales están cifrados y el acceso a ellos depende del pago del rescate.

Costos económicos

Entre los costos asociados se incluyen:

  • Pago del rescate (si se decide pagar).
  • Servicios de recuperación y análisis forense.
  • Tiempo de inactividad de personal y sistemas.
  • Sanciones legales si hay incumplimiento normativo (por ejemplo, en protección de datos personales).

3. Consecuencias a nivel de seguridad y cumplimiento

Posible exfiltración de datos

Aunque algunas variantes de PelDox han sido puramente cifradoras, existen casos donde también ejecutan scripts de exfiltración, usando protocolos como FTP, HTTP POST o servicios de almacenamiento en la nube (e.g., Mega, anonfiles). Esta etapa convierte el incidente en una violación de datos (data breach).

Implicaciones legales y de cumplimiento

Organizaciones sujetas a normativas como:

  • GDPR (Unión Europea),
  • HIPAA (sector salud, EE.UU.),
  • PCI DSS (comercio electrónico), pueden enfrentar multas si no reportan el incidente o si se demuestra negligencia en la protección de datos personales o financieros.

4. Riesgo de repetición y reexploitación

Una vez comprometido un sistema por PelDox, es común que:

  • Queden puertas traseras o usuarios remotos no autorizados instalados.
  • Se vendan credenciales robadas en dark web.
  • El entorno sea objetivo de ataques futuros del mismo grupo u otros actores afiliados.

Origen y motivación

PelDox Ransomware tiene su origen en campañas de cibercrimen orientadas principalmente al lucro financiero, operadas por grupos que emplean técnicas de Ransomware-as-a-Service (RaaS) para facilitar su distribución entre afiliados, quienes a cambio comparten parte del rescate exigido a las víctimas; su motivación principal radica en la obtención de dinero mediante la extorsión, cifrando archivos críticos en sistemas personales o corporativos y exigiendo un pago en criptomonedas para su recuperación, aunque en algunas variantes más recientes también se ha evidenciado un enfoque adicional en la exfiltración de datos, lo cual incrementa la presión sobre la víctima y amplía las posibilidades de monetización del ataque.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=PelDox&oldid=2454»