25 julio 2007

Troyano que pide rescate a los usuarios



Al descargarse en la computadora, cifra todos los documentos del rígido y crea un archivo para dar a conocer sus demandas. Pide u$s300 a cambio de liberar la computadora. La historia de estas amenazas llamadas ransomware

PandaLabs descubrió un nuevo ejemplar de malware secuestrador o ransomware: Sinowal.FY. Este código malicioso cifra los archivos del usuario para que no pueda acceder a su contenido, y exige un pago a cambio de proporcionarle una herramienta con la que descifrar esos archivos y la clave de cifrado.

Cuando Sinowal.FY se instala en el sistema, procede a cifrar todos los documentos del disco. Además, crea un archivo llamado “read_me.txt” que contiene las demandas del secuestrador. Concretamente, incluye un texto en el que exige un rescate de u$s300 a cambio de la liberación de los archivos.

“Este troyano pertenece a la familia Synowal, que tradicionalmente se ha dedicado al robo de contraseñas y datos bancarios. En el caso de esta variante, no se contenta sólo con esto, sino que, además, acude al chantaje cifrando la información del usuario de forma que no se pueda acceder a ella. Es un ejemplo de cómo los creadores de malware intentan sacar más beneficio con un único ejemplar de malware”, comentó Luis Corrons, director Técnico de PandaLabs.

Además, para acelerar el pago del rescate, el texto pone una fecha límite para realizar el pago, o de lo contrario, amenaza con que todos los datos se perderían, aunque esto en realidad, no es cierto, ya que el contenido cifrado permanece en la computadora.

Otros casos
Este tipo de secuestro no es nuevo. La familia de troyanos PGPCoder ya es veterana en el mundo del ransomware, perfeccionando sus técnicas de cifrado cada vez más para que resulte más difícil su descifrado.

Otro malware, Ransom.A, amenazaba con borrar un archivo cada 30 minutos, aunque fijaba como rescate una suma bastante más inferior, u$s10,99.

El caso más curioso fue el de Arhiveus.A, que no pedía al usuario dinero, sino que comprara algún producto de cierta farmacia on-line.

Lo más importante para contener infecciones de este tipo es contar con una buena solución preventiva que impida el acceso de este u otros códigos maliciosos.

No hay comentarios.: