El Indicador
VoidCrypt_VoidCrypt es una regla YARA detectando el malware VoidCrypt (versión 6.0), un ransomware que se distribuye frecuentemente por email y redes sociales como ataque de phishing.
Rules:
- VoidCrypt: Versión 6.0 (last updated: 2025-10-28)
VoidCrypt.yar
Datos de la regla:
| Tipo | Valor | Contexto |
|---|---|---|
| Potencia de ataque (PAP) | VoidCrypt 6.0 | Distribución mediante email/phishing. |
| Tipo de malware | Ransomware | Hackeo de datos y bloqueo de acceso. |
| Fecha actualización | 2025-10-28 | Versión 6.0 última versión publicada. |
Contexto
VoidCrypt es un malware que se caracteriza por el uso de cifrado en tiempo real, lo que impide la recuperación inmediata sin claves del autorizador.
Relacion con Actores / Malware
VoidCrypt es parte del grupo de malware "Ransomware in the Cloud" que incluye variantes como Wiflix, Enclave y Kriptos.
| Malware | PAP | Estado |
|---|---|---|
| VoidCrypt 6.0 | VoidCrypt | Activo - Distribución email/phishing |
Accion Recomendada
Al detectar VoidCrypt en un entorno crítico, se recomienda:
- Análisis profundo del archivo: Revisar el código YARA para identificar variantes (V6.0 vs V5.7).
- Evaluación de impacto: Verificar si se ha comprometido la base de datos o información crítica.
- Limpieza y recuperación: Descontener malware, restablecer servicios críticos (DNS, DNSSEC) y evaluar necesidad de backup.
- Certificación post-evento: Realizar análisis forense completo para reporte a autoridades y clientes.
Método de ataque:
VoidCrypt utiliza cifrado en tiempo real que bloquea la recuperación hasta el pago.
Riesgo:
Muy alto para datos críticos - cifrado en tiempo real impide recuperación sin claves.
Acción inmediata:
Descontener malware, evaluar impacto y realizar limpieza profunda del entorno.
Referencias Técnicas
VoidCrypt es parte de la familia Ransomware in the Cloud que incluye Wiflix, Enclave y Kriptos. La última versión (6.0) fue publicada en octubre 2025.