Autores
Kaspersky Lab sigue vigilando los sitios web maliciosos que están participando en las campañas de spam sobre el terremoto en Japón.
Aquellos que no pudieron ver las entradas anteriores sobre este tema, pueden leerlas aquí y aquí. Hoy descubrimos que algunos de los ataques no provenían del típico Trojan-Downloader.Win32.CodecPack.
El ataque ahora es de un programa chantajista (ransomware), detectado como Trojan-Ransom.Win32.PornoBlocker.jtg, que se propaga mediante mensajes falsos de la Policía Federal de Alemania. El mensaje te hace creer que tu ordenador está bloqueado porque se descubrió pornografía infantil en él.
Se pide a las víctimas que paguen una multa de 100 euros para desbloquear el ordenador.
Como si el logo de la policía alemana no fuese suficiente, también se incluyen logos de empresas antivirus como Kaspersky Lab para parecer más convincentes.
Si el malware logra funcionar con éxito, secuestra el escritorio para que muestre la siguiente advertencia:
La víctima ya no puede usar su ordenador a no ser que pague un “rescate” de 100 euros. Esta es una traducción del mensaje chantajista:
¡Atención!
Se han detectado actividades ilegales.
¡Hemos bloqueado su sistema operativo debido a violaciones de las leyes de la
República Federal de Alemania! Se detectó la siguiente violación: Se han visitado páginas que contienen pornografía, pornografía infantil, bestialidad y violencia contra menores desde su dirección IP.
¡Su ordenador tiene archivos de video con contenido pornográfico, elementos de violencia y pornografía infantil!
También se han enviado mensajes spam con antecedentes terroristas desde su equipo.
Esto es suficiente para bloquear su ordenador para detener sus actividades ilícitas.
[Información del ordenador]Para desbloquear el equipo, debe pagar una multa de 100 euros.
Debe hacer el pago dentro de las próximas 24 horas. Si no lo hace en el tiempo establecido, se procederá a formatear (borrar) su disco duro de forma permanente.
Debe realizar el pago de 100 euros con el código de un cupón de Ukash.
Para confirmar su pago, por favor ingrese el código de su transferencia en el espacio de pagos y presione OK (si tiene múltiples códigos, sólo ingrese una secuencia y presione OK).
Si el sistema detecta errores, debe enviar el código por correo electrónico (eliminado).
Desbloquearemos su ordenador 24 horas después de recibir su pago.
Detalles técnicos:
La página falsa de la Policía Federal de Alemania es una página html incrustada en el ejecutable del malware.
Al ejecutarlo, el programa malicioso crea una nueva ventana con atributos TOPMOST para mantenerse a la cabeza de cada ventana que se abra. Esta ventana se utiliza para mostrar el contenido del archivo html, mediante el uso de OLE y el control WebBrowser.
Se crea una nueva amenaza para eliminar TaskManager y suspender Windows Explorer. Pero antes de hacerlo, el malware toma el control del shell predeterminado de Windows dentro de la llave de registros (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon) y reemplaza explorer.exe.
Después inicia un bucle infinito y trata de destruir el proceso “taskmgr.exe” si se está ejecutando. También suspende “explorer.exe” cada 100 milisegundos para bloquear las interacciones del usuario:
Como resultado, Windows Explorer queda suspendido, no se puede ejecutar Task Manager y las ventanas tienen como prioridad mostrar el sitio web malicioso. Dentro de esta página html hay un Javascript que se utiliza para enviar el cupón Ukash del usuario a un servidor remoto.
Sin embargo, cuando descubrimos la amenaza, el DNS ya estaba desactivado, por lo que los ordenadores infectados quedaron inoperables.
Kaspersky Lab sigue investigando esta amenaza y actualizaremos el blog si descubrimos más información relevante.
Autores
De los mismos autores
En la misma categoría
Ransomware: Aviso falso de la Policía Federal de Alemania (BKA)