Un nuevo malware infecta equipos utilizando la aplicación de escritorio remoto de Windows

Escrito por Adrián Crespo
Seguridad

Expertos en seguridad han detectado un nuevo virus informático que se distribuye utilizando la línea de comandos o la aplicación de escritorio remoto de Windows. Se trata de un ransomware muy similar a los vistos hasta el momento, ya que cifra los archivos y posteriormente solicita el pago de una cantidad de dinero para recuperar el acceso a estos.

El auge de los foros es innegable y los ciberdelincuentes están haciendo uso de ellos, o mejor dicho, crean foros falsos de soporte técnico en los que se ofrece ayuda a distancia a través de esta aplicación nativa de los sistemas operativos de los de Redmond. De esta forma, los criminales se aprovechan posteriormente de los equipos de aquellos usuarios que han dejado la conexión abierta, utilizando la fuerza bruta para obtener la contraseña y así realizar la instalación del malware sin que el usuario sea consciente.

Las asociaciones de usuarios de Internet piden extremar las precauciones con este tipo de prácticas y aquellas que se ofrecen para solucionar los problemas vía telefónica.

Cuando realizan la instalación del virus lo primero que hace este una vez ha finalizado el proceso es crear un mapa de las unidades de disco y extraíbles que hay disponibles. De esta forma realiza el cifrado de las carpetas ubicadas en los discos duros y utiliza las unidades USB para replicarse y así alcanzar otros equipos.

Este malware posee un sistema similar a Cryptolocker

escritorio remoto de windows malware que cifra los archivos

Una vez ha realizado el cifrado de los archivos crea en el escritorio un fichero de texto en el que el usuario encontrará las instrucciones si quiere recuperar el acceso a los datos. En esta ocasión solicita el ingreso de 4 Bitcoins en un monedero y ofrece una dirección de correo de Gmail para contactar con los responsables una vez se haya realizado el pago.

Evidentemente no se recomienda esta vía para recuperar los archivos cifrados, ya que un alto porcentaje pierde el dinero y no obtiene la clave o la herramienta para realizar el descifrado, sin embargo, parece que existe una vía para recuperar los archivos.

Los servicios de almacenamiento en la nube pueden ser la salvación

Además de las copias de seguridad, expertos en software han aclarado que si las carpetas afectadas están sincronizadas con un servicio de almacenamiento en la nube (Google Drive o Dropbox, por ejemplo) el usuario podrá eliminar los archivos del equipo que poseen el prefijo oorr. y descargar los que se encuentran en la nube. Evidentemente en primer lugar se debe eliminar el virus para evitar que los archivos sean cifrado de nuevo, y todo parece indicar que cualquier herramienta de seguridad actualizada es capaz de detectar esta amenaza de forma correcta y proceder a su posterior eliminación de forma satisfactoria.

Fuente | Softpedia


Últimos análisis

Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10