Los ransomware son los malwares más peligrosos del pasado año 2013 y, según se puede observar, van a serlo también de este año 2014. Este tipo de malware ataca directamente a los archivos de los usuarios, los cifra y pide un pago económico a cambio de la clave de descifrado de los datos de forma similar a un secuestro de datos. Cada vez aparecen nuevas técnicas utilizadas por esos malware que complican la detección y el descifrado de los datos que perjudica directamente a los usuarios que, si no tienen copia de seguridad de los datos, pueden darlos por perdidos.
ESET ha descubierto un nuevo ransomware con menos de una semana de vida pero que ya se ha tomado más de 15.000 víctimas. Este ransomware en cuestión está llegando a través del correo electrónico en forma de troyano a todos los usuarios como un archivo adjunto aparentemente con forma de imagen pero que, en realidad, termina con una extensión .exe. El malware en cuestión comienza como un troyano denominado Win32/TrojanDownloader.Waski.B. Este se encarga de evitar todas las capas de protección del sistema para posteriormente ejecutar un proceso llamado fakih.exe que será el que se encargue del resto.
Este proceso conectará en segundo plano con un servidor desde el que descargará el ramsonware, denominado FileCoder. Una vez descargado se ejecuta y nos cifrará todos los datos de nuestro sistema con una clave RSA2 de 2048 bits. Se ejecutarán 4 procesos a la vez con el nombre temp32,exe, uno de ellos dentro del propio svhost.exe, lo que le hace bastante complicado de identificar desde la lista de procesos. Una vez finaliza el cifrado de los archivos, el ransomware envía la clave a un servidor externo donde se almacena a la espera del pago correspondiente.
Para poder recuperar los archivos, los usuarios deben realizar un ingreso de 1000 dólares, o 1.92 Bitcoin en un plazo máximo de un mes, a partir del cual, todos los datos quedarán completamente inaccesibles. La página web donde hay que realizar el pago se encuentra dentro de la red TOR, lo que complica su identificación y asegura a los piratas informáticos que no serán investigados por las diferentes organizaciones de seguridad. La amenaza de Tabnabbing usa links fraudulentos.
Este ataque ha comenzado el pasado 20 de marzo de 2014 y ya se han detectado infecciones en más de 50 países con más de 15.000 afectados en constante aumento. Debemos prestar atención a este tipo de ataques para evitar ser víctimas de estos secuestros de datos y tener siempre una copia de seguridad en el sistema de manera que, si somos infectados, podamos restaurarla sin tener que pagar por nuestros datos.
¿Te has encontrado ante alguna amenaza similar a la de este ransomware?
Fuente: We Live Security