RANSOMWARE, el virus de la Policía resucita y vuelve enfadado

Posted on por

policia-zombie

   Recientemente festejábamos la detención en España de un grupo de “ciberdelincuentes que se dedicaban a la explotación del conocido como “virus de la Policía”, el ransomware, nuestro “Virus Mortadelo”.

       El Cuerpo Nacional de la Policía, que desarrolló una excelente labor policial, desarticuló una célula de cibercriminales que se dedicaban a lucrarse estafando a los incautos internautas que pagaban supuestas multas para evitar ser denunciados, o simplemente para evitar que sus familias o compañeros de trabajo dudasen de sus “buenas conductas” a la hora de navegar por la Red.

      En alguna ocasión en la que he tenido la oportunidad de charlar con Josep Albors (@JosepAlbors) de ontinet.com, distribuidor en España de los productos de ESET, y verdadero experto todo lo relacionado con virus y malware, coincidíamos en la afirmación que, en cuanto a la «derrota» del «virus de la Policía«, solo habíamos ganado una batalla, pero coincidíamos en que la guerra seguía abierta. Os recomiendo leer el blog en el que escribe Josep protegerse.com.

      Lamentablemente no nos equivocábamos.

popup       Efectivamente, poco después de la buena noticia aparecía una nueva mutación del ransomware, en este caso no tenía la agresividad que sus “hermanos” mayores, pero la molestia que causaba era notable, llegaba a bloquear el ordenador de nuestro ordenador con infinidad de ventanas emergentes, debiendo clicar sobre enlaces de publicidad para poder desbloquearlo.

       Estos clicks reportaban sustanciosos beneficios a los responsables del virus, puesto que simplemente recibían un pago por cada click a un enlace publicitario, pero no afectaba al bolsillo de los internautas. Estábamos antes una mutación “light”.

          Pero los cibercriminales no se han quedado en eso, su ansía de lucro les hace mejorar sus técnicas y vuelven con más fuerza.

¡¡EL RANSOMWARE SIGUE VIVO!!

poli zombi

         Ya lo avisábamos, después de conocer las noticias sobre las detenciones del grupo de cibercriminales,  desde el twitter oficial del blog (@_Angelucho_ ), que no debíamos bajar la guardia, y vaticinábamos esta “resurrección”.

         Josep Albors también lo advertía en su artículo en el blog de Ontinent sobre las nuevas mutaciones del “Virus de la Policía” que aparecían en Latinoamérica.balas-de-plata

      Como decía recientemente David Fuertes (@dfuertes) en una conferencia en  RootedCon, en seguridad en la Red “- las balas de plata no existen” , tampoco existen para terminar con el conocido “Virus de la Policía”.

      Estas nuevas mutaciones, también están apareciendo en España, ahora los cibercriminales se están especializando cada vez más, agudizan mas sus instintos delictivos, ahora se dirigen incluso a empresarios.

virus-policia-2    Al igual que en sus “versiones” anteriores, aparece una ventana en la que un cuerpo policial nos bloquea nuestro equipo e impide hacer nada con el ordenador (en este caso el  también tiene que ver con pornografía infantil o con descargas realativas a contenidos protegidos con derechos de autor y/o propiedad intelectual). Por supuesto nos siguen pidiendo, a modo de pago de multa de 100 €uros para desbloquearlo en un plazo de entre 24 a 72 horas, que aporta mayor «tensión» en la víctima. Llegando incluso a mostrar una cuenta atrás con el tiempo que nos queda para realizar el pago antes de emprender acciones «legales».

criptografia         Además de estas variantes,  parece ser que, existe otra mutación bastante más agresiva, si cabe, mediante la que el virus secuestra y cifra archivos del ordenador víctima. No es la primera vez que los cibercriminales utilizan la técnica del cifrado de archivos a sus víctimas, pero en esta ocasión utilizan Windows PowerShell, que es una interfaz diseñada para interactuar con el sistema operativo y que suele ser utilizada por los administradores de sistemas. Una vez que los archivos han sido cifrados, éstos son retenidos por los atacantes, los cuales exigen un pago de unos 360 euros para liberarlos.

            Y ¿cómo llega este nuevo “Mortadelo” a nuestro ordenador?

      Es sencillo para ellos, aunque un tanto complicado de explicar en este blog, pero vamos a intentarlo gracias a zonavirus.com.

powershell      Los internautas reciben un mensaje de correo electrónico no deseado, un SPAM (como siempre el inicio de casi todos nuestros Inseguridades en Internet), este correo viene con con dos scripts (fichero de texto que contiene una serie de instrucciones para que sean ejecutadas en el ordenador) ocultos y maliciosos. El primero de ellos comprueba si el equipo tiene instalado PowerShell. Si no está instalado éste se descarga una copia de una cuenta, parece ser que de “Dropbox” y lo instala. El segundo de los script comienza con la encriptación de los archivos (secuestrando cualquier archivo susceptible de contener información potencialmente valiosa para la víctima, ya sean documentos de texto, imágenes, vídeos, etc…).

      Parece ser, según los expertos, que en esta variante los archivos cifrados pueden volver a su “estado inicial” con el mismo programa, PowerShell.

zip

      Sin embargo existe otra variante más agresiva de este malware, en la el virus empaqueta los archivos en un archivo comprimido en formato RAR con contraseña y los codifica haciendo inútil cualquier intento de descifrado sin conocer la clave utilizada para cifrar los datos.         –  

      .INTECO nos alertaba hace dos días sobre esta nueva variante de ransomware que está siendo utilizada activamente para comprometer servidores Windows haciendo inaccesibles gran parte de sus ficheros. Ver en «Nueva alerta peligroso ransomware«, artículo donde también dan las pautas para su desinfección y formas de evitarlo (DE MUY RECOMENDABLE LECTURA)

      Si recapitulamos un poco en las entradas de “El Blog de Angelucho , así como en las distintas páginas y blogs que han publicado sobre el tema, encontramos que el ransomware es un tipo de malware que restringe el acceso al sistema informático, que infecta el ordenador víctima y que exige un rescate que deberá ser pagado al creador del malware para eliminar la restricción.

      El pago siempre es mediante medios que hacen muy difícil el rastreo o seguimiento de sus “beneficiarios”, utilizando plataformas como Ukash o PaySafeCard,

      Algunas formas de ransomware cifran los archivos en el disco duro del sistema, mientras que otros simplemente bloquean el ordenador mediante múltiples mensajes que “invitan” a pagar al usuario. Por ejemplo, algunos ransomware intentan hacerse pasar por alguna organización del estatal del país donde se encuentra la víctima (lo detectan por la IP de la conexión de la víctima).

¿Cómo se puede evitar?

      Pues vamos a repetirlo una vez más. Diez mandamientos para una navegación segura.

        También os recomiendo, como médida para evitar la pérdida de vuestros datos, que hagáis copias periódias de seguridad de la información que no queráis perder y que tengáis en vuestros ordenadores.

      Y ahora sabéis lo que toca decir ¿verdad?

      Nosotros mismos somos nuestra peor vulnerabilidad pero también nuestro mejor antivirus.

Nos vemos en la red…

X1RedMasSegura

Fuente: mycomputerworks.com , zonavirus.com , protegerse.com

email

1 comentario en “RANSOMWARE, el virus de la Policía resucita y vuelve enfadado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *