Ransomware de la policía propagado con Blackhole

El ransomware es un tipo de malware que se caracteriza por bloquear el acceso al sistema o archivos a cambio de un pago. En el blog he comentado varios casos como el de los ciberdelincuentes que hacían mil dólares al día con un ransomware de SMS o el que sobrescribía el MBR y amenazaba con borrar todo el disco duro si no se pagaban 100 dólares.

Pero uno de los que más ha dado que hablar este año simula ser un mensaje de la policía, cuando el usuario se infecta le aparece una advertencia que hace referencia a una actividad ilegal y una multa que debe ser pagada. Todo es falso pero muchos usuarios desprevenidos, por diversas razones, terminan pagando.

Este ransomware se ha traducido en varios idiomas y se encuentra a la venta en foros underground, la siguiente es una captura de una versión que simulaba ser la policía de España:

alerta-fasa-policia

¿Cómo se propagan estos malwares?

Generalmente las víctimas se infectan sin saberlo al descargar programas de dudosa procedencia o aplicaciones falsas que son propagadas mediante ingeniería social (supuestos plugins, actualizaciones, etc, en el caso de los mil dólares al día lo hacían con reproductores porno falsos).

Las botnets también son utilizadas para ello, una botnet es una red de equipos que se encuentran infectados, si el administrador (botmaster) lo desea u otro ciberdelincuente contrata sus servicios, podrían instalar el ransomware de forma remota.

Otro método que está muy de moda es el uso de crimewares o kits de exploits que infectan los equipos automáticamente aprovechando vulnerabilidades. La siguiente captura publicada por Microsoft en su blog de seguridad resume el funcionamiento de estos kits, en este caso de uno conocido como Blackhole que es utilizado para propagar los “ransomwares policiales”:

blackhole-funcionamiento
Imagen de Microsoft

Todo comienza con enlaces spam o sitios infectados que dirigen a los usuarios hacia páginas maliciosas, estas páginas bombardean el equipo buscando vulnerabilidades en los plugins (Adobe Reader, Flash, Java) y el sistema operativo… cuando se detecta una vulnerabilidad el malware simplemente se descarga de forma automática y oculta.

Por esto es que siempre se recomienda mantener el sistema y todos los programas actualizados, las vulnerabilidades que estos kits buscan explotar generalmente son conocidas y ya fueron parcheadas por parte de los fabricantes (en algunos casos hace años), es decir que manteniendo todo actualizado se reducen enormemente las probabilidades de infección.

Ver también:
Video: imagen falsa infectando Windows.
BlackHat SEO + Java vulnerable = descarga oculta de troyano.

  1. Carlos opina:

    Soy mexicano, españoles detectando actividad en mi ordenador? Por favor, esto es absurdo.
    Por eso uso antivirus y el complemento WOT

  2. Alex opina:

    Hola a todos y disculpen por la ortografia, esto tambien fue un hecho muy comun en españa hace unos seis meses a todo aquel que tenia ADSL de telefonica, contratando el antivirus de makafe que telefonica te proporciona, y en lo personal fuy victima, pero con un poquito de suerte lo resolbi yo mismo.
    Fue mas sencillo de lo que imagine, como yo estaba cabraado con telefonica, por que me digeron que estaban teniendo muchas quejas por las mismas causas y ellos no podian hacer nada por que llebaban varios dias con insidencias en el antivirus, les dige que se metieran el antivirus en el culo y que no me lo cobraran mas, entre en modo seguro con funciones de red, borre el antivirus y al hacerlo por supuesto que reinicie arranco bien el PC . No puedo desir que no supe como solucionarlo, pero sinceramente lo hice de casualidad, osea que cuando me estaba cargando el antivirus no sabia que al mismo tiempo estaba dando solución. Moraleja para el que no lo cogio se ocultaba en el antivirus no se si en los demas casos sea la misma solución pero en el mio fue asi de sencillo he inboluntario lo resolvi, despues cogi el telefono llame a telefonica los puse aparir disiendoles orrores, que como que yo sin ser informatico y con unos conosimientos basicos minimos lo habia resuelto y como ellos con todo sus ingenieros e informaticos llevaran varios dis con insidencias, por supuesto que no les dige como. muchas gracias a este colectivo a todos los que colaboran, soys la ostia, espero que mi experiencia les valga de algo.

Trackbacks

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *