Siguen apareciendo nuevos casos de ransomware

Al parecer, el ransomware que bloquea los equipos o cifra los archivos que contiene está haciendo su agosto, si nos atenemos al número creciente de muestras que estamos observando en estos últimos días. Al conocido “virus de la Policía” que tanto está dando que hablar en los últimos meses, se están uniendo otros de similares características y con la misma finalidad: hacer dinero rápido a costa de los sufridos usuarios.

Y no es de extrañar este aumento en el número de amenazas de este tipo, conocidas como ransomware o criptovirología, puesto que supone una importante fuente de ingresos de la manera más directa posible, aunque los ciberdelincuentes también pueden ser rastreados de forma más fácil.

Uno de los últimos casos que hemos venido observando en nuestros laboratorios en los últimos días es el caso de la amenaza que las soluciones de seguridad de ESET identifican como Win32/Ransomcrypt. Esta infección revisa todas las carpetas del sistema y cifra todos aquellos archivos que puedan ser considerados como importantes para el usuario como documentos, imágenes o accesos directos.

Además, a todos los archivos cifrados se les añade la extensión EnCiPhErEd y se crea un archivo de texto llamado “HOW TO DECRYPT.TXT” en todas las carpetas que contengan archivos cifrados explicando los pasos a realizar para recuperarlos, pasos que incluyen el pago de un rescate de 50€. Asimismo, la amenaza da un máximo de cinco intentos al usuario para que introduzca una contraseña correcta y, en el caso de no acertarla, deja de aceptar más intentos y se elimina a sí mismo, dejando al usuario sin poder acceder a sus datos.

Pero no es la única muestra de ransomware que hemos visto en los últimos días. También hemos observado como otra variante infecta el sistema y reemplaza el MBR original por uno propio. MBR son las siglas de Master Boot Record y consiste en una porción de código almacenada en los primeros sectores de nuestro disco duro que inicia el gestor de arranque del sistema. Si un malware de este tipo consigue modificar este sector de arranque, el usuario no podrá acceder a su sistema a menos que ceda al chantaje del ciberdelincuente y pague la cantidad solicitada.

Como vemos, este tipo de amenazas están resurgiendo con fuerza a pesar de llevar muchos años entre nosotros. Ya en 1989, el virus informático AIDS infectaba sistemas de la misma manera y solicitaba un rescate. Años más tarde, en 2005, otro ransomware conocido como GpCode obtuvo un notable éxito usando técnicas similares, incluso hemos visto ejemplos de ransomware elaborado en España. En la actualidad, el “virus de la Policía” lleva meses afectando a miles de usuarios y no son pocas las variantes como las que hemos analizado en este post.

Los motivos del resurgimiento de este tipo de amenazas no están claros pero hay algunas hipótesis que resultan interesantes de analizar. Por una parte, es muy fácil para los ciberdelicuentes crear y distribuir este tipo de malware y, viendo el número de ordenadores afectados, parece que están teniendo mucho éxito propagando esta amenaza.

Por otra parte, la creación de malware poco elaborado y que intenta monetizarse de forma lo más directa posible también denota cierta urgencia por parte de los ciberdelincuentes para obtener dinero fácil y rápido, aunque esto les exponga de forma más clara frente a una investigación para averiguar a donde va a parar todo el dinero obtenido de esta forma.

Sea como sea, desde el laboratorio de ESET en Ontinet.com recomendamos estar alerta y disponer de un antivirus actualizado para poder detectar estas amenazas. Es importante, además, no ceder nunca a este tipo de chantajes y acudir a los servicios de soporte para solucionar este tipo de incidencias. Solo así evitaremos que los ciberdelincuentes vean en este tipo de malware una manera provechosa y fácil de conseguir dinero y desarrollen más amenazas de este tipo.

Josep Albors
@JosepAlbors

2 Comentarios
  1. Josep Albors

Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *