Royal Ransomware es un malware de tipo ransomware que se distribuye por medio de correos electrónicos con apariencia legítima que incita a la descarga de un fichero en el equipo de la víctima. Una vez el usuario ha ejecutado el fichero, ya se encuentra infectado. Por la información que se ha podido recabar, se instala una instancia de Qbot y de Cobalt Strike, lo que permite a los atacantes tener control de la máquina, para intentar movimientos laterales por la red, y luego exfiltran la información interesante antes de ejecutar el ransomware.
La criptografía utilizada no presenta ningún tipo de vulnerabilidad y sólo se puede recuperar los datos cifrados con la clave RSA privada que está en manos de los atacantes.
Para evitar detecciones e incrementar el rendimiento el cifrado, se hace uso de un cifrado por bloques, que permite configurar que porcentaje del fichero se quiere cifrar. Esta configuración, al igual que el tamaño original del fichero, se agregan al final del fichero.
