La historia del «Virus de la Policía» es algo que teníamos pendiente de publicar en El Blog de Angelucho.

     El RANSOMWARE, su verdadero nombre, ha estado siempre muy presente en el Blog, llegando incluso a bautizarle «cariñosamente» como nuestro «Virus Mortadelo», debido a los distintos «disfraces» que ha utilizado desde que el malware vió la luz.

      En las distintas entradas hemos intentado detallar y explicar cada uno de sus disfraces, con los que ha adoptado distintas identidades, haciéndose pasar, en España, por el Cuerpo Nacional de Policía, por la Guardia Civil, por la SGAE, incluso se ha atrevido a simular ser el propio F.B.I. estadounidense. En definitiva, mismo perro con distinto collar.

       Nuestro «Virus Mortadelo» ha ido cambiando su disfraz a media que las circunstancias lo requerían, los malos son malos, pero a la vez, en ocasiones, son tan buenos en su «trabajo» mejorando sus técnicas para adaptarse a nuevas necesidades. Como ejemplo el mismo día de la coronación del Rey de España Felipe VI comenzaron a utilizar su imagen en antiguas variantes, sustituyendo a la de su padre el Rey Juan Carlos I. ¿quien no creería a Su Majestad?

      «Mortadelo» nos ha multado por descargarnos programas protegidos por derechos de autor, también por la descarga de archivos relativos a la pornografía infantil, ha utilizado técnicas de Ingeniería Social (el Hacking Humano) para indicarnos la ciudad de nuestra residencia, incluso, para hacernos creer que había entrado en nuestra casa, nos mostraba una fotografía nuestra delante de nuestro ordenador o de lo que se observaba delante del dispositivo.

    Las mutaciones del Ransomware no solo nos ha bloqueado los ordenadores, también ha llegado a hacerlo con nuestros dispositivos móviles, nos ha bloqueado los navegadores, y en sus versiones más agresivas ha llegado a cifrarnos la información que almacenabamos en el ordenador, obligandonos a realizar un pago para obtener una contraseña para descrifrarlos.

       Contraseña que podía llegar, ¡o no!

       No solo hemos hablado de su «historia» a lo largo de las entradas, también hemos aportado formas de evitar su «presencia«, como por ejemplo con la herramienta creada por nuestro amigo Yago Jesús (@YJesus) de Security by Default que nos proponía una herramienta ANTI RASOM (actualizada a la V2.0). O herramientas para limpiar nuestro ordenador infectado con el «Virus de la Policía», como POLIFIX, también de nuestro GRAN amigo Marcelo Rivero (@MarceloRivero) de @InfoSpyware.

      En la entrada de hoy, contamos nuevamente con la colaboración de nuestro amigo Josep Albors (@JosepAlbors), de Ontinet / ESET ESPAÑA, que como encargado de su Laboratorio conode muy bien las andanzas de nuestro «Mortadelo», y nos había prometido hablarnos de este malware para saber un poquito más sobre él.

Josep, ¿Qué es el “virus mortadelo”?

El “virus mortadelo”, también conocido como “virus de la Policía” es un Ransomware que ha estado bastante activo en los últimos tres años. Un Ransomware es un tipo de código malicioso que secuestra nuestro ordenador y los datos que almacenamos en él, exigiéndonos el pago de una cantidad de dinero si queremos recuperarlos.

Las primeras muestras en España se observaron en Junio de 2011 y los usuarios afectados informaban de un mensaje en sus equipos que se identificaba como la Policía Nacional. Los usuarios no podían acceder a su sistema y no fueron pocos los que pagaron la supuesta multa o contactaron con la propia Policía para pedir ayuda.

A partir de ahí, los delincuentes comenzaron a desarrollar nuevas variantes, cada vez más sofisticadas, cambiando el mensaje y mejorando la presentación, suplantando a otros cuerpos y fuerzas de seguridad como la Guardia Civil o Europol e incluso llegando a utilizar la imagen del Rey Juan Carlos I y de su sucesor Felipe VI.

Además de los cambios estéticos, se fueron introduciendo nuevas características como la grabación por webcam del usuario afectado o la utilización de imágenes con contenido pedófilo para causar aún más preocupación entre los usuarios afectados y hacer que pagasen.

También existen variantes del ransomware que no suplantan a ningún cuerpo policial y que simplemente avisan de que nuestro ordenador se encuentra bloqueado y la información almacenada en el mismo cifrada. Esto puede ser una molestia para un usuario particular pero en el caso de una empresa puede producirle grandes pérdidas al no poder acceder a la información necesaria para continuar con su actividad. En el caso de los ransomware orientados a infectar servidores en empresas, la cuantía económica solicitada por los delincuentes suele ser muy superior a la habitual.

¿Cómo se propaga?

Hemos visto varios métodos de propagación a lo largo de estos años aunque el aprovechamiento de vulnerabilidades en el sistema operativo ha sido de los más utilizados por los delincuentes. Los agujeros de seguridad en Java han sido utilizados de forma continua por varias variantes de ransomware, a sabiendas de que muchos usuarios desconocen la existencia de tales vulnerabilidades.

En el caso del ransomware orientados a empresas, estos se aprovechaban principalmente de vulnerabilidades en Windows 2003, vulnerabilidades que ya se encontraban solucionadas pero que los responsables de esos servidores no habían aplicado en sus sistemas.

No obstante, cualquier otro vector de propagación es perfectamente utilizable para propagar esta amenaza, desde correos electrónicos con adjuntos maliciosos a enlaces en redes sociales, pasando por descargas desde webs (legítimas o no) solo por navegar por ellas.

¿Afecta solo a Windows?

Principalmente sí, aunque también se vieron algunas muestras menos elaboradas que afectaban a sistemas Mac OSX y, recientemente estamos observando un importante crecimiento de nuevas variantes afectando a dispositivos Android.

La aparición reciente de ransomware en dispositivos móviles con Android es preocupante debido al alto número de víctimas potenciales y la poca concienciación de seguridad que aún se tiene a la hora de manejar estos dispositivos. El atacante tan solo debe conseguir que el usuario instale una aplicación maliciosa haciéndola pasar por cualquier otra y ya conseguiría secuestrar nuestro Smartphone. Es un tema que seguro que dará mucho que hablar en los próximos meses.

¿Cómo podemos protegernos?

La mejor medida de protección es la prevención. Todos podemos tener un descuido y pulsar donde no debemos e incluso nuestro antivirus puede no detectar la amenaza a tiempo. Se hace por tanto necesario contar con una copia de seguridad actualizada para, en el caso de que nos veamos afectados por este tipo de malware podamos restaurar toda la información sin mayores problemas.

Mantener nuestro sistema y las aplicaciones que en él tenemos instalados también es una buena medida de seguridad ya que muchas de las variantes se aprovechaban de agujeros de seguridad en Java o en el propio sistema operativo.

     Dicen que una imagen vale más que mil palabras, y si además de ser una imagen es un video ya lo bordamos. Os propongo ver la interesantísima charla que Josep Albors nos dió en Cybercamp 2014 sobre nuestro «Mortadelo«.

«Ransomware: Historia de una molesta amenaza«

      Gracias a Josep Albors hemos amprendido un poquito más sobre nuestro particular «Mortadelo», que os recuerdo es detectado por los antivirus si los tenéis debidamente actualizados, salvo las mutaciones nuevas hasta que sean detectadas. Además, gracias a Yago Jesús y Marcelo Rivero no solo podremos evitar sus consecuencias en algunas mutaciones del malware si no que también podremos eliminarla de nuestros sistemas.

      Gracias a todas estas entradas, contribuciones, y opiniones hemos aprendido cual es el demoninador común de los ciberdelincuentes que manejan a «Mortadelo», y creo que todos vosotros lo teneís también muy claro, ¿verdad?.

      Todos y cada uno de estos malos son movidos por un grandioso sentimiento de amor.

AMOR AL DINERO

Pero contra nosotros no podrán hacer demasiado porque tenemos activado siempre nuestro sentido común, y sobre todo, tenemos muy presente que en Internet…

NOSOTROS SOMOS NUESTRA MAYOR VULNERABILIDAD, PERO TAMBIÉN SOMOS NUESTRO MEJOR ANTIVIRUS.

SI TE GUSTA ESTE BLOG PUEDES VOTARLO EN LOS PREMIOS BITÁCORAS 2015 COMO MEJOR BLOG DE SEGURIDAD INFORMÁTICA

Nos vemos en la red…

X1RedMasSegura