News

… por si fuera poco, también aparece un chantajista que ataca el MBR

Mi colega Vitaly Kamluk publicó hoy una entrada sobre un nuevo programa chantajista similar a GpCode que codifica los datos de los usuarios con algoritmos de codificación RSA.1024 y AES-256. Seguimos investigando este programa y os mantendremos informados.

Pero GpCode.ax no es el único ransomware que descubrimos hoy. Acabamos de descubrir un programa malicioso que modifica el Master Boot Record (MBR) y exige un pago a cambio de entregar una contraseña para restablecerlo. Detectamos este programa como Trojan-Ransom.Win32.Seftad.a y Trojan-Ransom.Boot.Seftad.a.

El troyano Trojan.Win32.Oficla.cw descarga esta nueva amenaza.

Si Oficla.cw descarga y ejecuta Seftad.a, el PC de la víctima se reinicia y el siguiente mensaje aparece en pantalla:

La víctima no conoce la contraseña que se solicita. Así que el ordenador infectado se reinicia después de tres intentos fallidos y vuelve a mostrar el mismo mensaje.

Los símbolos que se escriben se leen con INT 16h y se utiliza el siguiente procedimiento para calcular el valor y compararlo con una función hash de 2 bytes:

Por suerte, los discos duros y archivos no están codificados como asegura el creador del malware. Este programa chantajista solo superpone un MBR malicioso sobre el original:

El MBR original se guarda en el cuarto sector del disco duro y guarda el marcador de la infección de malware en 0x9FE:

El cibercriminal pide a las víctimas que ingresan a su sitio web que le envíen $100 mediante ‘Paysafecard’ o ‘Ukash’.

Si esta amenaza te ha infectado no visites el sitio. Escribe la contraseña ‘aaaaaaciip’ (sin comillas) para restablecer el Master Boot Record a su estado original. Si la contraseña no funciona, puedes utilizar Kaspersky Rescue Disk 10 para solucionar el problema.

… por si fuera poco, también aparece un chantajista que ataca el MBR

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada