• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Anonymous ataca las web del PP de Cataluña y de la Academia de las Ciencias y las Artes

Mientras que los candidatos de los diferentes partidos políticos queman sus últimos cartuchos ante la jornada electoral del próximo 20 de noviembre, Anonymous sigue con su operación 20N (#Op20N), revelando información confidencial de los partidos y sus miembros y atacando a páginas web del Gobierno o de partidos políticos.

En el día de ayer, la web del Partido Popular de Cataluña apareció de la siguiente forma (gracias de nuevo a Chema Alonso por la información publicada en su blog, del cual hemos extraído esta imagen).

La web sufrió una intrusión que permitió a los atacantes colgar un fotomontaje donde se criticaba a los candidatos de los principales partidos políticos. Exactamente el mismo fotomontaje es el que hemos visto hoy en un enlace de la Academia de las Ciencias y las Artes de la Televisión.

No obstante, en esta ocasión se ha subido información confidencial. En concreto, se han publicado datos de miembros de CIU a los que Anonymous acusa de recibir donaciones extrañas. Entre estos datos se encuentran el nombre, apellidos, DNI, email, teléfono y dirección postal.

Como vemos, a pocos días de la finalización de la campaña electoral, Anonymous acelera el ritmo de sus ataques y filtraciones. Desde el laboratorio de ESET en Ontinet.com creemos que en estas últimas horas antes de las elecciones pueden revelarse datos confidenciales importantes, incluyendo aquellos relativos a la investigación del 11-M que estos hacktivistas dijeron poseer, por lo que iremos publicando en este blog cualquier información que se produzca en relación a este tema.

Josep Albors

Nuevo ataque a Facebook publica imágenes pornográficas y violentas en miles de perfiles

Hoy nos hemos despertado con las noticias de un ataque a Facebook que está inundando miles de perfiles de imágenes pornográficas y violentas. Varios medios, tanto especializados nacionales e internacionales como generalistas, se han hecho eco de este nuevo ataque a la red social más famosa.

Todavía no se sabe exactamente cómo se ha producido este ataque aunque ya han surgido diversas teorías: desde la que sugiere que se trata de un nuevo gusano generado por miembros de Anonymous hasta la que apunta a una intrusión en los servidores de Facebook.

Lo que está claro es que los usuarios afectados se cuentan por millares, si hacemos caso a la gran cantidad de comentarios en Twitter que se han generado tras este ataque. Lo que no cabe duda es que la seguridad del sistema está en entredicho. Pero… ¿de qué sistema? Cuando nos conectamos a Facebook, el sistema está formado por tres elementos: el servidor de Facebook, el ordenador del usuario y el usuario en sí.

Por la parte que le toca a Facebook, la seguridad es la que es, y no podemos hacer nada por mejorarla aparte de quejarnos si no nos gusta. Son sobradamente conocidas las carencias presentes por defecto con respecto a la privacidad de la información compartida por los usuarios y la posibilidad de una intrusión en los servidores de Facebook no resulta descabellada si nos atenemos a incidentes recientes.

El segundo elemento es el ordenador del usuario. Nunca nos cansaremos de repetir que los sistemas deben estar protegidos y configurados correctamente. Una adecuada protección y un conocimiento de las medidas de seguridad que el propio sistema incorpora, unido a una pizca de sentido común, pueden evitar que el malware haga de las suyas en nuestro ordenador.

Y por último, el elemento más débil y peligroso: nosotros, los usuarios. Cualquier red social incluye una serie de puntos para proteger nuestros perfiles, para respetar nuestra intimidad en la red… que no siempre conocemos o no aplicamos porque, reconozcámoslo, muchas veces limitan las posibilidades de “cotilleo”.

Aunque la cantidad de perfiles afectados es elevada no se han observado patrones claros que nos indiquen cuáles son más propensos de verse afectados. Lo que sí está claro es que aquellos usuarios con una configuración de su cuenta más estricta, que impidan publicar comentarios en su muro a desconocidos o ser etiquetados de forma automática en una foto, tienen menos posibilidades de verse afectados por lo que, desde el laboratorio de ESET en Ontinet.com recomendamos modificar (al menos temporalmente) la configuración de nuestro perfil para evitar publicaciones no deseadas.

Fernando de la Cuadra y Josep Albors

Win32/Duqu: tras los pasos de Stuxnet

Durante los últimos días, los investigadores de malware han dedicado mucho tiempo al nuevo código malicioso identificado por ESET como Win32/Duqu. Los investigadores de nuestro laboratorio Aleksandr Matrosov, Eugene Rodionov y David Harley han analizado su código a fondo y han extraído información más que interesante.

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

R2D2, de entrañable robot a posible troyano gubernamental

A lo largo de la historia de la seguridad informática muchas veces se ha comentado la posibilidad de que los Gobiernos espiasen a sus ciudadanos usando troyanos para obtener información. En algunas ocasiones se ha reconocido el uso de este tipo de códigos maliciosos, previa autorización judicial, para espiar a sospechosos de cometer algún delito.

No obstante, no son pocos los usuarios que siguen con la mosca detrás de la oreja y sospechan que los Gobiernos y agencias estatales usan constantemente las mismas técnicas empleadas por los ciberdelincuentes contra sus ciudadanos.

El pasado sábado, el veterano grupo de hackers alemanes Chaos Computer Club (CCC) hizo público un estudio donde se analizaban las funcionalidades de un troyano que este grupo atribuía al Gobierno alemán. Al analizar el código se encontró la cadena de texto “C3PO-r2d2-POE”, usada por el troyano para iniciar la transmisión de datos.

Es por ese motivo que la mayoría de softwares antivirus que detectan este troyano han decidido nombrarlo con el nombre del popular robot de la saga Star Wars. Por pura casualidad, el mismo día en que se publicó el informe del grupo CCC, empezaba en Madrid la Cificom, el primer Salón de Cine, Ficción, Coleccionismo y Merchandising, y allí estaba él, ignorando que sería noticia destacada en el mundo de la seguridad informática en pocas horas.

Si nos centramos en el troyano en sí, este no se limita a espiar las comunicaciones realizadas a través de Skype o MSN Messenger. También es capaz de registrar las pulsaciones que realicemos en un navegador como Firefox, Internet Explorer u Opera, conectarse con un servidor remoto para recibir actualizaciones o incluso generar capturas de pantalla para registrar la actividad del usuario.

Con respecto a las acusaciones de este grupo, en las que hacen responsable al Gobierno alemán de la creación de este troyano, es difícil que sepamos la verdad a menos que el propio Gobierno lo confirme. Asimismo, no está de más recordar que las compañías antivirus detectan este tipo de amenazas, independientemente de su procedencia, y en el caso de las soluciones de seguridad de ESET le hemos asignado el nombre Win32/R2D2.A.

Desde el laboratorio de ESET en Ontinet.com no podemos afirmar con certeza que el troyano provenga del Gobierno alemán. Aunque haya indicios para sospecharlo, no debemos olvidar que hay pistas que pueden haber sido puestas a propósito y siempre existe la posibilidad de que se quiera atribuir la autoría a un Gobierno por motivos políticos.

Josep Albors

Infecciones en instalaciones militares

Cuando hablamos de infecciones y ataques a páginas web normalmente damos una serie de consejos a los usuarios para que tomen medidas con las que protegerse. Pero, ¿qué ocurre cuando los afectados son departamentos de defensa, instalaciones militares o grandes empresas que trabajan como contratistas militares para algunos gobiernos?

Este fin de semana se ha conocido la noticia de que algunos de los sistemas que se encargan de dirigir la flota de aviones no tripulados de los Estados Unidos usados en operaciones militares (conocidos como drones) habían sido infectados por un código malicioso. La noticia de por sí ya es impactante, pero adquiere tintes preocupantes al escuchar las declaraciones de uno de los encargados de la seguridad de esos sistemas:

“Los eliminamos, pero vuelve a aparecer”. Esta declaración podría aplicarse a multitud de casos de infecciones que se producen diariamente y a las que la mayoría nos enfrentamos en algún momento. Según los responsables de eliminar esta amenaza, aún no están de acuerdo en si la funcionalidad de keylogger que incorpora este malware se introdujo de forma consciente o fue simplemente un accidente. Esto denota una falta de control en cuanto a quién o qué accede a estos sistemas y acerca de los permisos que dispone para realizar según qué acciones.

Lo que está claro es que declaraciones como: “Creemos que es benigno, pero no lo sabemos seguro”, no ayudan a tranquilizarnos. Por lo menos podemos especular sobre si la noticia de la infección y estas declaraciones han salido a la luz debido a que, muy probablemente, estemos ante un caso de infección accidental de un sistema crítico, pero no ante un ataque dirigido.

Un ejemplo de ataque dirigido fue el que experimentó la empresa Mitsubishi Heavy, donde los atacantes consiguieron acceder e infectar varios ordenadores y sustraer información confidencial relacionada con el armamento que produce esta empresa. Entre otros, esta empresa se encarga de la fabricación de misiles tierra-aire y aire-aire, alas para los aviones Boeing 787 e incluso submarinos. Huelga decir que esta información tiene un gran valor para empresas competidoras y no pocos gobiernos.

Pero cuando hablamos de la confidencialidad de secretos de Estado, militares o corporativos, debemos recordar que el eslabón más débil sigue siendo el usuario. De nada sirve tener un sistema seguro si luego los datos que se almacenan se pueden obtener robando un portátil de un alto cargo o encontrando un pendrive olvidado en un taxi. Por no hablar de las “sofisticadas técnicas” de ocultación de material confidencial que permiten saltárselas a cualquiera que sepa copiar y pegar información desde un documento PDF.

Como vemos, nadie está a salvo de ataques, pero, más aun, nadie está exento de cometer errores. Desde el laboratorio de ESET en Ontinet.com creemos que la protección de la información confidencial debe empezar por concienciar a los usuarios que la manejan. Solo así podremos centrarnos en proteger los sistemas adecuadamente sin temor a que un fallo humano suponga una filtración de datos.

Josep Albors

Códigos QR como vector de ataque

Venimos hablando desde hace algunos meses del creciente número de amenazas para dispositivos móviles, como los smartphones, que tan comunes se han vuelto en nuestra vida diaria. Hemos comprobado cómo los creadores de malware utilizaban diversas estrategias para conseguir infectar nuestros teléfonos, pero, recientemente, hemos visto que han empezado a usar un vector de ataque bastante peculiar.

Según informa el investigador Denis Maslennikov, se han empezado a usar códigos QR para propagar enlaces maliciosos entre los usuarios que descargan troyanos. Este tipo de códigos están usándose cada vez más con fines publicitarios, debido sobre todo a que los terminales móviles hace tiempo que tienen la capacidad de leerlos e interpretarlos.

Aprovechándose de esta circunstancia, los ciberdelincuentes están usando estos códigos QR para publicar enlaces en los que se aloja malware. Realmente solo se está reutilizando una vieja técnica como la de introducir un enlace en un contenedor como puede ser un correo electrónico, una publicación en Facebook, una imagen o incluso un archivo multimedia.

Además de para propagar malware, un uso malintencionado de este tipo de códigos puede emplearse para preparar ataques de phishing, como nos demuestran desde el blog de spamloco.net. También puede usarse la ingeniería social para obtener datos de los usuarios que capturen un código especialmente preparado con su móvil, muy útil para conseguir números de teléfono de chicas guapas, como apuntan en el blog de Flu Project.

Como vemos, cualquier vector de ataque puede ser aprovechado por los ciberdelincuentes para propagar malware. Desde el laboratorio de ESET en Ontinet.com recomendamos evitar acceder a enlaces proporcionados por códigos QR de origen desconocido (enviados por SMS, email o impresos en papel y colocados en lugares con gran afluencia de gente). Asimismo, instalar una solución antivirus en nuestro dispositivo móvil puede ayudarnos a evitar problemas si nos puede la curiosidad.

Josep Albors

Apple actualiza XProtect mientras aparece un nuevo troyano para Mac

Como reacción a la aparición del troyano Revir/Imuler, Apple ha decidido lanzar una actualización de XProtect, el sistema de detección de malware que viene incorporado en los Mac. Este sistema tan solo tenía hasta este momento 18 bases de firmas de virus, cantidad que se nos antoja más que insuficiente para hacer frente a las cada vez más elaboradas y numerosas amenazas para Mac.

Esta estrategia para combatir el malware hace muchos años que dejó de ser efectiva y las casas antivirus nos hemos adaptado al nivel de amenazas actuales desarrollando potentes heurísticas de detección y utilizando la nube para reaccionar a las nuevas amenazas con mayor rapidez. Pero parece que Apple sigue anclada en el pasado en lo que respecta a la seguridad de sus sistemas.

Por ejemplo, nada más publicarse esta nueva base de firmas para detectar al troyano Revir/Imuler, la empresa Intego anunció el descubrimiento de una nueva amenaza para sistemas Mac OS X conocida como OSX/Flashback, esta vez camuflada bajo un falso instalador de Adobe Flash Player.

Si el usuario lo descarga y ejecuta, el código malicioso simulará la instalación de Flash Player, simulación que está realizada con un acabado profesional y que emula muy bien al instalador real. Mientras se siguen los pasos indicados por el instalador, se abrirá una puerta trasera en el sistema usando una librería dinámica llamada Preferences.dylib.

Una vez finalizada la instalación, el malware empezará a realizar comunicaciones con un servidor remoto usando un cifrado RC4 y transmitiendo información como la dirección MAC de la tarjeta de red y la versión del sistema operativo. Potencialmente, este código malicioso también podría usarse para permitir a un atacante inyectar código en el Mac afectado.

Por suerte, la propagación de esta amenaza aún es escasa y requiere de la intervención del usuario. Desde el laboratorio de ESET en Ontinet.com aconsejamos descargar este tipo de actualizaciones únicamente desde sitios oficiales, desactivar en Safari la opción de abrir automáticamente los archivos “seguros” y contar con una solución antivirus actualizada.

Josep Albors

Nuevo troyano para Mac oculto en un archivo PDF

El malware para Mac, a pesar de que en cantidades muchísimo menores que en sistemas Windows, sigue creciendo. Recientemente hemos visto cómo se ha ido propagando un nuevo troyano para esta plataforma, supuestamente pensado para atacar a los usuarios chinos de Mac.

Este nuevo troyano se oculta dentro de un archivo PDF, adjunto a un correo electrónico, y contiene un artículo escrito en chino que habla acerca de la disputa territorial sobre las islas Diaoyu que mantienen desde hace años China y Japón.

Al ejecutar el archivo PDF, este abrirá el documento en chino mientras, en segundo plano, instala un código malicioso. Así, mientras el usuario está ocupado leyendo el documento, la instalación del troyano se completará y el sistema podrá ser accedido de forma remota por un atacante.

Esta táctica no es nada novedosa en sistemas Windows y viene siendo aprovechada desde hace años, sobre todo debido a las continuas vulnerabilidades que aparecen constantemente en los productos de Adobe. No obstante, una amenaza de este tipo es una novedad en sistemas Mac, y es probable que muchos usuarios se vean afectados por no estar acostumbrados a tomar precauciones manejando archivos PDF potencialmente peligrosos.

Las soluciones de seguridad como ESET Cibersecurity para Mac, detectan estas amenazas como los troyanos OSX/Revir.A o OSX/Imuler.A trojan. No obstante, desde el laboratorio de ESET en Ontinet.com recomendamos evitar abrir todos aquellos archivos adjuntos a correos electrónicos que no estemos esperando recibir y, sobre todo, no creernos nunca inmunes por usar un sistema operativo en concreto.

Josep Albors

Mensajes sugerentes con malware de regalo

El envío de ficheros infectados adjuntos a correos electrónicos puede sonar a algo de otra época, sobre todo viendo la complejidad de algunas amenazas actuales. No obstante, este vector de infección sigue estando muy presente y no son pocos los usuarios que caen en este tipo de correos maliciosos.

El envío masivo de e-mails con adjuntos infectados es algo que les cuesta muy poco a los ciberdelincuentes, ya que disponen de miles de ordenadores que han visto su seguridad comprometida y que forman parte de una botnet. Así pues, por muy bajo que sea el porcentaje de usuarios que se infecten al abrir un archivo adjunto a un e-mail, el envío de este tipo de correos sigue siendo rentable.

Teniendo esto en cuenta, los únicos cambios que se realizan para llamar la atención de los usuarios es crear asuntos sugerentes o alarmantes. Recientemente hemos visto multitud de e-mails suplantando a empresas de transporte diciendo que tenían un paquete para nosotros y nos solicitaban rellenar un documento adjunto, supuestos correos con falsas multas de tráfico o agencias tributarias que nos devuelven parte de los impuestos pagados.

Pero hay un tema que siempre llama la atención, sobre todo entre usuarios masculinos, y no es otro que el sexo. Las campañas de spam diseñadas para un periodo en concreto suelen tener un éxito razonable pero su duración suele ser relativamente corta. En cambio, aquellas campañas con algún componente sexual en su contenido suelen ser atemporales y conseguir un nivel de éxito superior a la media.

Durante los últimos días, en nuestro laboratorio hemos estado recibiendo varios ejemplos de este tipo de correos:

Como vemos, aun a pesar de ser un mensaje en inglés, la mayoría de usuarios reconocerá tres palabras que despertarán su interés: “photo”, “naked” y “girls”. Algo tan simple como este correo lleva días propagándose y, por los datos recopilados hasta ahora en nuestro laboratorio, ha conseguido un éxito superior a la media.

Por suerte para los usuarios, de la misma forma que el mensaje es muy simple, los códigos maliciosos que suelen adjuntar pertenecen a familias de malware conocidas y que son detectadas sin problemas por la mayoría de software antivirus. En este caso, las soluciones de Seguridad de ESET lo detectan como una variante de la ya veterana familia Agent.

A pesar de ser una técnica antigua y que la mayoría de usuarios debería descartar de forma automática estos correos (si no lo hace ya su filtro antispam), seguimos recibiendo a diario este tipo de mensajes. Desde el laboratorio de ESET en Ontinet.com recordamos que la mejor manera de protegernos ante ellos es ignorarlos y eliminarlos tan pronto como los veamos en nuestra bandeja de entrada.

Josep Albors

Ransomware policial: Historia de una molesta amenaza

A pesar de que la gran mayoría de malware actual intenta pasar desapercibido el mayor tiempo posible, para poder robar así más datos confidenciales del usuario infectado, aun vemos ejemplos de códigos maliciosos que intentan obtener beneficios por la vía rápida.

Uno de estos ejemplos es el de un ransomware (o código malicioso que “secuestra” nuestro sistema operativo hasta que paguemos un rescate) que intenta suplantar a la Policía Nacional. Durante los últimos meses hemos visto varios casos de usuarios infectados por este malware e incluso algunos han cedido al chantaje y han abonado la cantidad solicitada por los ciberdelincuentes.

Una vez nuestro sistema ha sido infectado, cada vez que intentemos iniciar sesión en el mismo se nos mostrará un mensaje de aviso, como el que puede verse en el video preparado por Hispasec hablando de esta amenaza o en la siguiente captura de pantalla:

En la pantalla de alerta se nos comunica que hemos realizado múltiples infracciones como la posesión de pornografía infantil o el envío masivo de spam. Para dar más credibilidad al mensaje se proporcionan datos reales de nuestra conexión a Internet como la IP, el sistema operativo usado o el navegador. Este tipo de datos no son difíciles de obtener y crean en el usuario la sensación de estar siendo vigilado.

Seguidamente se nos insta a abonar una cantidad de dinero para poder acceder a nuestro sistema. En caso contrario se nos amenaza con eliminar todos los datos que almacenemos. Como método de pago, los delincuentes nos invitan a usar Ukash, que es una de tantas plataformas de pago online.

Este tipo de amenaza es algo que lleva tiempo propagándose y, en este caso en concreto, podemos observar como se hace referencia a la legislación alemana pese a suplantar a la policía española. Esto es debido a que los creadores detrás de este ransomware han usado como base otro muy similar que apareció tiempo atrás y lo han modificado ligeramente. Sin ir más lejos, en este mismo blog ya comentamos un caso similar que extorsionaba a los usuarios haciéndose pasar por asociaciones de derechos de autor.

De hecho, el ransomware está muy presente en determinados países. Investigadores de ESET descubrieron que existen multitud de variantes de este tipo de amenazas en Rusia y países limítrofes, siendo una de las amenazas más detectadas por el sistema de alerta temprana ThreatSense.Net en esos paises.

A pesar de ser una amenaza muy vistosa y que no pocos usuarios cederán al chantaje, la manera de eliminarla es relativamente sencilla. Si bien, la mayoría de soluciones de seguridad son capaces de detectar y eliminar este ransomware, aquellos usuarios que han sido infectados y quieran desbloquear su sistema tan solo deben seguir los siguientes pasos:

1.Reiniciar el sistema.
2.Iniciar Windows en modo seguro
3.Una vez iniciado el sistema, se debe acceder al registro del sistema escribiendo “regedit” en la línea de comandos y localizaremos la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

4.Buscar la clave “Shell” y reemplazar el valor que haya por Explorer.exe
5.Reiniciar el sistema

Como vemos, a veces las amenazas más simples y poco elaboradas son igualmente efectivas si se consigue llamar la atención de un usuario poco precavido. Desde el laboratorio de ESET en Ontinet.com recomendamos contar siempre con un sistema antivirus actualizado para evitar infecciones molestas como esta.

Josep Albors

« Artículos Posteriores — Artículos Anteriores »