Hasta ahora, el metodo de infección de los ransomware había sido vía spam, correo electronico, falsas actualizaciones, etc. Este nuevo secuestrador de archivos codifica en clave AES 256 , Pero la novedad es el modo de propagación, se ha descubierno un nexo común, y es que todos los afectados tenían teamviewer instalado, además, se realizaba la transferencia de tres archivos en el escritorio del ordenador, uno en como proceder pars liberarlo, otro notepad para el procedimiento de pago y un surprise.exe que se elimina una vez criptografiados los archivos a .surprise.
El nuevo método no se sabe si usa una vulnerabilidad zeroday de los servers de teamviewer o como actúan si por fuerza bruta en clientes conectados. Los primeros casos se remontan al 10 de Marzo del presente año.
http://www.redeszone.net/2016/03/22/sur ... eamviewer/ 