Un nuevo ransomware para Windows aprovecha PowerShell

Escrito por Rubén Velasco
Seguridad
0

El ransomware es el tipo de malware más peligroso actualmente. Este software malicioso busca hacer dinero mediante el secuestro de un ordenador o de los datos del mismo obligando al usuario a pagar si quiere seguir usando el sistema sin problemas o volver a acceder a sus datos.

Según pasa el tiempo, los piratas informáticos van buscando nuevas formas de hacer más complejas sus herramientas de software de manera que puedan eludir los nuevos antivirus e infectar a los usuarios de la manera más eficiente y difícil de solucionar. Un grupo de piratas informáticos ha desarrollado un nuevo y complejo cryptolocker que hace uso de la conocida herramienta de administración de Windows PowerShell.

Este nuevo ransomware, denominado Troj_Poshcoder.a, hace uso de la herramienta Windows PowerShell para cifrar los datos de los usuarios de una forma mucho más rápida, oculta y eficaz. El uso de PowerShell, en teoría, también complicaría notablemente la detección de este malware por parte de las soluciones antivirus, sin embargo, un análisis en profundidad ha demostrado que en realidad este malware que utiliza PowerShell para cifrar los datos en realidad es bastante más fácil de detectar que otras piezas de software malicioso similares al tratarse e una versión modificada de PowerShell, e incluso los archivos cifrados han podido recuperarse sin mucha dificultad debido a las características de esta herramienta.

Este ransomware utiliza AES como método de cifrado junto a RSA 4096 bits para calcular la clave pública. Cuando el malware infecta y cifra los datos de los usuarios, este muestra un mensaje en la pantalla y crea un enlace html en cada una de las carpetas con el que acceder a la página de rescate.

poshcoder_ransomware_foto

El rescate que actualmente están pidiendo es de 1 Bitcoin para volver a acceder a la clave. Por el momento las principales víctimas de este malware son varios bancos de Estados Unidos, sin embargo, con el paso del tiempo es posible que también lleguen versiones similares a todos los usuarios de manera que debemos estar protegidos y atentos si no queremos ser víctimas de estas piezas de software tan dañinas y caras para los usuarios.

Debemos evitar descargar archivos desde páginas web sospechosas y ejecutar los ficheros que nos lleguen por correo electrónico. De igual forma, antes de ejecutar determinados archivos de los que no estemos 100% seguros de su eficacia, podemos utilizar herramientas online como VirusTotal para analizar un determinado fichero con cerca de 60 motores antivirus a la vez para asegurarnos si se trata de un archivo fiable o sospechoso.

¿Qué opinas de este nuevo ransomware que utiliza PowerShell en Windows? ¿Qué crees que será lo próximo en este ámbito?

Fuente: The Hacker News


Noticias relacionadas