News

Programa extorsionista ofrece llave de descifrado a cambio de propagar infección

Los investigadores encontraron un malware extorsionista en fase de desarrollo, que cínicamente ofrece a la víctima descifrar sus archivos de forma gratuita si accede a infectar a dos amigos y ellos pagan el rescate.

“Nunca he visto nada parecido entre los extorsionadores” dice Lawrence Abrams del sitio BleepingComputer.com, que dio a conocer la noticia sobre este descubrimiento. “Esta es la primera vez en toda mi carrera”.

Abrams supo del nuevo extorsionista llamado Popcorn Time (que no debe confundirse con la aplicación homónima para ver videos), por un twit de un investigador de MalwareHunterTeam que descubrió la aplicación maliciosa en la Dark Web. El análisis del código confirmó que el programa malicioso le da a elegir a la víctima: pagar el rescate o enviar a dos usuarios el enlace a un archivo malicioso y esperar un resultado positivo. No fue posible establecer si Popcorn Time logró propagarse y en qué dimensiones. “Este código es incompleto, algunos de los servidores de administración no funcionan y algunos componentes importantes todavía no están disponibles”, comentó en los resultados Abrams.

Según el investigador, la lista de tipos de archivos que Popcorn Time puede cifrar contiene más de 500 artículos. El nuevo malware opera con una clave AES de 256 bits, y añade una extensión .filock a los archivos cifrados. Según la captura de pantalla proporcionada por BleepingComputer.com, la víctima debe pagar un rescate (“de forma rápida y fácil”, como dicen los atacantes) o encontrar nuevas víctimas (“actuar mal”) en una semana.

“Lamento informarle que el equipo y los archivos están cifrados, pero no se desespere. Hay una forma de hacer que su equipo vuelva a funcionar y recuperar los archivos. Envíe el siguiente enlace a otras personas. Si dos o más personas instalan este archivo y pagan, descifraremos sus archivos de forma gratuita”.

Al mismo tiempo, los creadores del programa extorsionista se autodenomina “grupo de estudiantes sirios de informática” y afirman que los ingresos de las operaciones del bloqueador se destinarán a la compra de alimentos y medicinas, y para el pago de la vivienda de los sirios afectados por las hostilidades. “Sentimos mucho tener que hacerles pagar”, – escriben los “benefactores”.

Para decodificar los archivos cobran 1 Bitcoin (alrededor de 800 dólares) y la víctima puede utilizar la clave un número limitado de veces. “En el programa hay código inconcluso, que nos permite suponer que después del cuarto error al escribir la clave del cifrador se inicia la eliminación de archivos” – escribe Abrams en el sitio web Bleeping Computer.

Es todavía temprano para decir cuán efectivo es este método de propagación y monetización de malware extorsionista. “¿Serán muchas las personas que se atreverán a violar la ley y tratarán de infectar a otras personas?, se pregunta Abrams. No lo creo. Sin embargo, habrá sinvergüenzas que no se detengan ante la inmoralidad de tal acto, y se aventuren a probar”.

Fuentes: Threatpost

Programa extorsionista ofrece llave de descifrado a cambio de propagar infección

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada