News

El regreso del secuestrador de ficheros

Estoy seguro de que los lectores asiduos de esta bitácora recuerdan la historia de GpCode, que usaba algoritmos RSA para cifrar los datos de los usuarios. En el artículo publicado en la sección de Análisis de este sitio, se examinaba en detalle este programa nocivo.

Algunos de los lectores nos preguntaban porqué no habíamos escrito en este blog sobre programas similares esté último tiempo, después de todo, el artículo sobre el chantaje cibernético concluyó con la idea de que podrían haber más programas similares en el futuro. Pero hubo un periodo de calma que duró más de un año…

Así que los lectores se imaginarán nuestros sentimientos este fin de semana, cuando algunos de nuestros usuarios de fuera de Rusia nos escribieron que sus documentos, fotos, archivos, ficheros, etc, se habían convertido en un montón de basura, y que un fichero llamado read_me.txt había aparecido en sus sistemas. Lamentablemente, el contenido de este fichero era demasiado familiar:

Hola, tus ficheros están cifrados con el algoritmo RSA-4096
(http://es.wikipedia.org/wiki/RSA).

Sin nuestro software, necesitarás varios años para descifrarlos. Toda tu información privada de los últimos 3 meses ha sido recolectada y enviada a nuestra dirección.

Para descifrar tus ficheros, tendrás que comprar nuestro software. El precio es $300.

Para comprar nuestro software, escríbenos a: xxxxxxx@xxxxx.com y envianos tu código personal –xxxxxxxxx.. Después de que la compra haya sida realizada, te enviaremos una herramienta de descifrado y tu información privada será eliminada de nuestro sistema.

Si no te pones en contacto con nosotros hasta el 15/07/2007, tu información privada será publicada y perderás todos tus datos.

Glamorous team

¿Será esto una señal de que el artista del chantaje ha vuelto? Está claro que el texto original no fue escrito por un angloparlante nativo. Y la dirección de correo electrónico ya la hemos visto antes en las variantes de LdPinch y Banker, programas que son de origen ruso.

Por supuesto, hemos analizado los ficheros y a pesar de lo que dice el texto, no hay indicios de RSA-4096. Es curioso que esta pequeña “obra de arte”, que nuestro antivirus detecta como Virus.Win32.Gpcode.ai, tenga un periodo tan corto de vida, del 10 al 15 de julio de 2007. ¿Porqué será? Solo podemos adivinarlo.

Kaspersky Anti-Virus 6.0 (y 7.0, para aquellos que viven en áreas dónde esta versión está disponible) detecta este troyano de forma proactiva: una vez como Trojan-Generic (pantalla 1) y otra como Invader (pantalla 2). Por supuesto, ya estamos trabajando en un método de descifrado de los ficheros de los usuarios para añadirlo a nuestras bases antivirus. Pero mientras tanto, queremos recordaros que si habéis caído víctima de Gpcode o de otro tipo de ransomware, no debéis pagarle al chantajista bajo ninguna circunstancia. Mas bien, dirigíos a vuestro proveedor de antivirus.

El regreso del secuestrador de ficheros

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada