13/05/2016 Noticia Ransomware
Desde hace unas horas hemos podido comprobar que se acaba de iniciar una nueva campa�a de propagaci�n del ransomware Locky que, una vez m�s, utiliza una de las t�cnicas de enga�o que mejor ha funcionado en los �ltimos meses: la del falso email de Correos, operador espa�ol de servicio postal y paqueter�a.
En esta campa�a, los delincuentes siguen utilizando una plantilla que se ha venido repitiendo durante los meses anterior y que no difiere mucho de la primera versi�n vista a finales de 2014. En todo caso, los delincuentes se han esmerado un poco m�s y han evitado cometer faltas de ortograf�a para resultar as� m�s convincentes y hacer que el enga�o sea m�s eficaz.
Adem�s, en esta �ltima campa�a los delincuentes est�n utilizando dominios leg�timos con buena reputaci�n que han sido comprometidos, para as� evitar que los filtros antispam y de an�lisis de reputaci�n bloqueen la descarga del ransomware por parte de los usuarios.
Desde esa web leg�tima se redirige al dominio registrado por los delincuentes, que, como en alguna variante anterior, aparenta tener cierta relaci�n con Correos Espa�a, pero que en realidad no es m�s de un enga�o para que los usuarios conf�en y accedan sin miedo. Cabe destacar que este dominio viene precedido por una serie de letras que se generan aleatoriamente cada vez que un usuario accede a ese enlace malicioso, t�cnica que los delincuentes habr�n usado posiblemente con la finalidad de evitar que ese dominio sea bloqueado de forma sencilla.
Si el usuario accede al enlace se encontrar� con otra web en la que se le informa de la necesidad de introducir un c�digo captcha para poder acceder a los datos del env�o. Realmente, este paso no es fundamental para que se complete la descarga del ransomware, pero proporciona una capa adicional de confianza al usuario haci�ndole pensar que est� en la web oficial de Correos Espa�a.
Una vez el usuario ha introducido el captcha en la falsa web de Correos Espa�a, se solicita permiso para abrir o guardar un fichero. El usuario puede pensar que aqu� se encuentra la informaci�n relativa a este supuesto pedido, y el hecho de que su extensi�n no sea la de un ejecutable puede hacer que se conf�e y lo abra.
En este punto encontramos otra novedad con respecto a variantes anteriores y es que los delincuentes han descartado en esta ocasi�n el uso de ficheros ejecutables .exe, de JavaScript .js, protectores de pantalla .scr o el cl�sico recurso del ejecutable dentro de un archivo comprimido .zip. Para esta variante han preferido utilizar archivos con extensi�n .wsf o Windows Script File; de esta forma, consiguen evadir muchas reglas creadas en m�ltiples filtros que bloquean las extensiones mencionadas anteriormente.
A pesar de la extensi�n, el fichero sigue siendo ejecutable y contiene c�digo con instrucciones para descargar el ransomware en s�. En esta ocasi�n estar�amos hablando de la descarga de un ransomware, pero los delincuentes podr�an usarlo para descargar pr�cticamente cualquier otro c�digo malicioso.
Si el usuario ha seguido las indicaciones de los delincuentes y ha descargado y ejecutado el c�digo malicioso en su sistema, no tardar� en ver aparecer la siguiente nota de rescate como fondo de pantalla y comprobar que la mayor�a de sus archivos han sido cifrados y no puede recuperarlos:
Dado que la campa�a no ha hecho m�s que empezar, aprovechamos para recomendar la m�xima precauci�n a nuestros clientes y usuarios en general, ser precavidos a la hora de abrir archivos, pinchar en links, etc. y adem�s, poner medidas de seguridad en los equipos inform�ticos, instalando RANSOMWARDIAN como defensa ante los ataques de virus ransomware.
12/05/2016 Noticia Ransomware
El conocido ransomware Jigsaw del que habl�bamos hace un tiempo (que deb�a su nombre a la marioneta de la saga de pel�culas de terror "SAW") ha sido renombrado como CryptoHitman y ahora utiliza al protagonista de los populares videojuegos y pel�culas de Hitman. Adem�s de a�adir la imagen de Hitman a la pantalla de las v�ctimas, CryptoHitman tambi�n llena la pantalla de im�genes pornogr�ficas.
Imagen de ordenador infectado por el ransomware CryptoHitman (se han difuminado las im�genes pornogr�ficas para no herir sensibilidades):
Al igual que con el anteriormente denominado ransomware Jigsaw, CryptoHitman cifrar� sus datos con cifrado AES y exigir� el pago de un rescate para recuperar sus archivos. Para pagar este rescate se le requerir� enviar el pago al e-mail [email protected].
Desafortunadamente, este ransomware borra archivos cada vez que se reinicia el pc y cuando el contador llega a cero.
Las diferencias principales a cuando se llamaba Jigsaw son: las im�genes pornogr�ficas en la pantalla, el uso del personaje de Hitman, la nueva extensi�n .porno que se a�ade a todos los archivos cifrados y los nuevos nombres de archivo para los archivos ejecutables del ransomware. Por lo dem�s, este ransomware act�a igual que el original Jigsaw.
Por eso insistimos m�s que nunca que no se abran correos inesperados o sospechosos y mucho menos sus archivos adjuntos. Adem�s, deben mantener sus antivirus actualizados, una licencia de RANSOMWARDIAN instalada en cada equipo y realizar backup externo.
11/05/2016 Noticia Ransomware
CryptXXX, una de las m�s recientes familias de ransomware descubiertas, ha sido actualizada por sus creadores a la versi�n 2.0 con la que, hacer totalmente irrecuperables sus archivos cifrados, tambi�n bloquea el ordenador de sus v�ctimas.
CryptXXX fue descubierto a mediados de abril y funcionaba como cualquier otro criptoransomware actual, lo que significa que infectaba a sus objetivos a trav�s de publicidad maliciosa, cifraba los archivos y ped�a un rescate. Pero aparte de esto, los usuarios ten�an pleno acceso a sus ordenadores, excepto para los archivos cifrados. Todav�a pod�an utilizar el mismo ordenador para, a trav�s de un navegador web, comprar Bitcoins y pagar el rescate.
Ahora ha sido descubierto el ransomware CryptXXX versi�n 2 (2.006 para ser m�s exactos), que con la actualizaci�n evita que los archivos cifrados por �l puedan ser descifrados por ninguna herramienta y adem�s bloquea el ordenador de sus v�ctimas.
En cuanto a su propagaci�n, los delincuentes que se encuentran tras la nueva versi�n de CryptXXX siguen optando por las campa�as de publicidad maliciosa, mediante anuncios maliciosos en sitios web leg�timos, que redirigen a los usuarios a p�ginas que alojan el programa que env�a directamente el ransomware al pc del usuario.
Teniendo en cuenta su m�todo para infectar a los usuarios, recomendamos que adem�s de tener instalada una licencia de RANSOMWARDIAN en su equipo, instalen asimismo un buen bloqueador de anuncios en su navegador web, como por ejemplo Adblock Plus.
10/05/2016 Noticia Ransomware
Se ha descubierto un nuevo ransomware llamado Enigma que se dirige a pa�ses de habla rusa y, al igual que otras familias de ransomware, cifra los archivos de sus v�ctimas, solicitando el pago en bitcoins de un rescate para recuperar dichos archivos.
Incluyendo el hecho de que esta amenaza se dirige a pa�ses de habla rusa, otra caracter�stica interesante es que el ransomware Enigma utiliza un instalador basado en HTML/JS que contiene un ransomware ejecutable incrustado.
El ransomware Enigma est� siendo distribuido a trav�s de adjuntos HTML que contienen todo lo necesario para crear un ejecutable, guardarlo en el disco duro de la v�ctima y despu�s ejecutarlo. Para abrir el archivo adjunto HTML, se abre el navegador web predeterminado y ejecuta el c�digo JavaScript incrustado.
Cuando se crea el archivo JavaScript, el archivo HTML intenta autom�ticamente descargarlo y ofrecerlo como un archivo que la v�ctima debe ejecutar. Cuando se ejecuta este archivo JS, se crea un ejecutable llamado 3b788cd6389faa6a3d14c17153f5ce86.exe que se ejecuta de forma autom�tica. Este archivo ejecutable se crea a partir de una matriz de bytes almacenados en el archivo JavaScript.
Una vez ejecutado, este archivo ejecutable cifrar� los datos en el ordenador de la v�ctima y a�adir� la extensi�n .enigma a los archivos.
A continuaci�n, mostrar� la siguiente nota de rescate:
09/05/2016 Noticia Ransomware
Un grupo de cibercriminales ha vuelto a poner en circulaci�n un virus ransomware que llevaba 2 a�os inactivo (desde el 2014). Se trata del ransomware Bucbi que no hab�a vuelto a verse propag�ndose de modo masivo desde 2014, a�o en que fue descubierto.
El grupo detr�s del relanzamiento de este ransomware afirma ser ucraniano, aunque algunas pistas hacen suponer que su or�gen es m�s bien ruso, sobre todo por el uso del algoritmo GOST, desarrollado por el anterior gobierno de la URSS y que no se hizo p�blico hasta 1994.
En cuanto al ransomware Bucbi, podemos afirmar que esta nueva versi�n ha sido muy modificada. Las tres principales diferencias son que el ransomware ahora funciona sin necesidad de conectarse a un servidor C&C online, utiliza una rutina de instalaci�n diferente y tambi�n emplea una nota de rescate diferente.
Las similitudes entre la versi�n del 2014 y la de 2016 incluyen la presencia de muchas cadenas de depuraci�n similares, nombres de archivos similares y que ambas utilizan la funci�n GOST de cifrado de bloques.
La peculiaridad m�s llamativa del ransomware Bucbi es que se basa en los ataques por fuerza bruta para acceder a las redes corporativas a trav�s de puertos abiertos RDP.
Sin embargo, �sto s�lo demuestra que los grupos de la ciberdelincuentes a menudo ajustan sus estrategias para aprovechar las debilidades que encuentran en un momento determinado, adapt�ndose al tipo de sistemas vulnerables que encuentran.
Por eso es importante que procuremos estar alerta y protegidos en lo posible frente a este tipo de ataques, instalando soluciones de seguridad como RANSOMWARDIAN en cada ordenador, manteniendo el antivirus actualizado y formando en pautas b�sicas de seguridad a los usuarios y empleados.
06/05/2016 Noticia Ransomware
Las infecciones por virus ransomware han crecido un 14% en lo que llevamos de a�o 2016, siendo hasta el momento abril el peor mes, dado que se ha batido el r�cord de infecciones por ransomware.
De todos los ataques por ransomware detectados en lo que va de a�o, el 17% fueron dirigidos a empresas e instituciones.
A continuaci�n puede verse el hist�rico de los virus ransomware descubiertos en los �ltimos a�os:
Estos ataques generalizados de ransomware est�n obligando a cambiar el comportamiento de los usuarios, ya que el ransomware no es algo a lo que se le pueda dar soluci�n una vez que ha conseguido atacar a sus v�ctimas, momento en que ya es demasiado tarde. La clave por lo tanto se encuentra en prevenir y evitar el ransomware adoptando medidas de seguridad e instalando el software RANSOMWARDIAN en cada equipo inform�tico.
En el siguiente v�deo puede ver qu� es lo que ocurre cuando ejecutamos el virus ransomware Crypt0L0cker recibido a trav�s de un e-mail que suplantaba a Correos, en un ordenador que NO est� protegido por RANSOMWARDIAN:
A continuaci�n podemos observar qu� es lo que ocurre al ejecutar el mismo virus ransomware Crypt0L0cker recibido a trav�s de un e-mail que suplantaba a Correos, en un ordenador en el que est� instalado previamente RANSOMWARDIAN:
El 'ransomware' es un tipo de virus da�ino que cifra los documentos del usuario y los deja inservibles, mostrando posteriormente un mensaje que solicita el pago de una cantidad espec�fica" para recuperar los archivos da�ados. Este tipo de ciberataques se realizan a trav�s de correos electr�nicos que incluyen un archivo adjunto o un enlace que busca da�ar el ordenador del destinatario o mediante archivos que se descargan al navegar por p�ginas poco fiables.
05/05/2016 Noticia Ransomware
Un nuevo tipo de ransomware creado y distribuido por un grupo de ciberdelincuentes que se hacen llamar "el Equipo de la Caridad", trata de animar a los usuarios a pagar la nota de rescate con la promesa de donar parte del dinero a una organizaci�n de caridad para ni�os.
Esta nueva amenaza es una combinaci�n de otras familias de ransomware como CryptoWall 3.0, CryptoWall 4.0 y el ransomware CryptXXX m�s reciente. Por lo tanto, a este nuevo ransomware se le ha dado el nombre de CryptMix.
La infecci�n de este ransomware se produce a trav�s de correo electr�nico no deseado que contiene enlaces a sitios web maliciosos. Los usuarios que acceden a estos sitios web son atacados con paquetes de exploits que se aprovechan de vulnerabilidades de los navegadores y sus plugins, para instalar el ransomware CryptMix.
Una vez que el ransomware entra en el PC de la v�ctima, se inicia autom�ticamente el proceso de cifrado. Este ransomware es �nico en el sentido de que busca y comienza a cifrar la friolera de 862 tipos diferentes de archivos. Se puede reconocer a las infecciones del ransomware CryptMix por la extensi�n .code que a�ade al final de cada archivo cifrado.
Una vez que finaliza el proceso de cifrado, el ransomware CryptMix genera las notas de rescate en el PC infectado. Este ransomware toma prestadas la nota de rescate HTML de CryptXXX y la nota de rescate basada en texto de CryptoWall.
La nota de rescate notifica al usuario de que sus archivos fueron cifrados con un algoritmo potente RSA-2048, le asigna una identificaci�n y le insta a enviar un correo electr�nico a una de dos direcciones de correo electr�nico para que pueda recuperar sus archivos.
El ransomware CryptMix est� solicitando una cantidad de dinero superior a la que estamos acostumbrados con otros ransomwares, que suelen pedir cantidades de entre 100-400 euros, pero en este caso, los delincuentes solicitan el pago de 2.200 euros.
Para "convencer" a las v�ctimas de pagar esta suma de dinero, los delincuentes est�n utilizando 2 tipos de artima�as: por una parte, intentan engatusar a la v�ctima aduciendo que parte del dinero del rescate se destinar� a la caridad infantil y adem�s coaccionan a la v�ctima inform�ndole de que la suma del rescate se duplicar� en las siguientes 24 horas si no paga inmediatamente.
El colmo de la desfachatez de estos delincuentes es que, en ese mismo mensaje, los delincuentes tambi�n prometen tres a�os de "soporte t�cnico GRATIS", como si fuese l�gico que alguien aceptase ayuda t�cnica de un creador de ransomware...
Desgraciadamente, a fecha de hoy, no hay manera de descifrar los archivos encriptados por el ransomware CryptMix, por lo que lo importante es prevenir y protegerse siendo precavidos ante correos, adjuntos y links no deseados o que no sean de confianza, y proteger los equipos inform�ticos con RANSOMWARDIAN.
03/05/2016 Noticia Ransomware
Un virus ransomware ha inutilizado el servidor de la Subdirecci�n General de Gesti�n Econ�mica y Patrimonial del Ministerio del Interior, que da servicio a nueve departamentos de dicho Ministerio.
Como puede observarse, la virulencia y alcance de los virus ransomware es tal, que ni siquiera el Ministerio del Interior est� exento de ser v�ctima de los mismos. De hecho, los virus ransomware se han convertido hoy en d�a en la mayor amenaza para los usuarios, habiendo pasado a ser el doble la cantidad de equipos infectados en 2015 con respecto al a�o 2014 y esper�ndose que en 2016 estas cifras sean a�n mucho mayores.
La Subdirecci�n General de Tecnolog�as de la Informaci�n ya ha solicitado a todos los funcionarios que comprueben sus discos duros locales para ver si han sido infectados.
El 'ransomware' es un tipo de virus da�ino que cifra los documentos del usuario y los deja inservibles, mostrando posteriormente un mensaje que solicita el pago de una cantidad espec�fica" para recuperar los archivos da�ados. Este tipo de ciberataques se realizan a trav�s de correos electr�nicos que incluyen un archivo adjunto o un enlace que busca da�ar el ordenador del destinatario o mediante archivos que se descargan al navegar por p�ginas poco fiables.
Se aconseja por lo tanto a todos los usuarios tanto del Ministerio del Interior como de cualquier �mbito, tomar las siguientes precauciones:
1) No abrir ning�n correo electr�nico de origen desconocido ni mucho menos abrir los adjuntos o pinchar en los enlaces que pudiera contener.
2) En caso de detectar alg�n correo sospechoso, antes de abrirlo, guardarlo y reenviarlo a fin de que los t�cnicos de RANSOMWARDIAN puedan evaluarlo.
3) No ejecutar ning�n archivo de origen desconocido.
4) Poner atenci�n a la navegaci�n por internet, visitando sitios fiables o desconocidos.
5) Tener instalada una licencia del software anti ransomware RANSOMWARDIAN en cada equipo inform�tico.
6) Tener un antivirus tradicional actualizado y el firewall activado.
7) Hacer copias de seguridad peri�dicas fuera del local.
02/05/2016 Noticia Ransomware
En los �ltimos d�as, una empresa suministradora de agua y electricidad en EEUU llamada BWL fue v�ctima de un ataque de virus ransomware, que hizo que no pudieran ofrecer correctamente algunos de sus servicios.
La infecci�n se produjo despu�s de un empleado de BWL hubiera abierto un archivo adjunto recibido por correo electr�nico. El virus ransomware cifr� los archivos del trabajador, pero tambi�n se extendi� a otros equipos que formaban parte de la misma red.
Pese a que los equipos ten�an instalado un antivirus tradicional (no especializado en virus ransomware como RANSOMWARDIAN), el programa no fue capaz de detectar ni bloquear la amenaza. Se da la circunstancia adem�s de que la variante de virus ransomware era "completamente nueva".
El virus, que mostr� el comportamiento de una infecci�n t�pica por criptoransomware, provoc� que la empresa no pudiera seguir suministrando ciertos servicios a sus clientes. Adem�s, la empresa de servicios p�blicos de propiedad municipal, tuvo que cerrar su red interna y el servicio de correo electr�nico utilizado por alrededor de 250 empleados.
A�adido a lo anterior, la l�nea telef�nica de asistencia al cliente tuvo que ser asimismo cerrada por el momento a causa de la infecci�n.
Los portavoces de BWL dijeron que no los datos de los clientes no se cifraron durante el incidente, pero decidieron cerrar el suministro el�ctrico y de agua hasta que la situaci�n se aclare.
Este es el mejor ejemplo de que, no s�lo los particulares y empresas son potenciales v�ctimas de los ataques ransomware, sino que incluso los organismos oficiales se convierten en objetivo de amenazas y potenciales v�ctimas de p�rdidas de datos, accesos no autorizados, robo de informaci�n sensible y divulgaci�n de datos privados, con lo que ello implica a nivel de impacto financiero, p�rdida de informaci�n cr�tica y repercusi�n a su imagen y reputaci�n.
Es por ello que las compa��as de todos los tipos y tama�os deben ser conscientes de los peligros a los que se exponen e implantar planes de prevenci�n y protecci�n, a�adiendo a sus sistemas de seguridad el programa RANSOMWARDIAN en cada equipo inform�tico.
29/04/2016 Noticia Ransomware
Se han descubierto 3 nuevas amenazas para los usuarios de Windows, se trata de los virus ransomware CryptFIle2, BrLock y MM Locker, cuyos archivos encriptados, a fecha de hoy, no se pueden recuperar.
Ransomware CryptFIle2
De las tres amenazas esta es la m�s longeva, ya que apareci� a mediados del mes de marzo y tal vez sea el m�s simple, ya que para recuperar los archivos el usuario debe contactar con el propietario del ransomware a trav�s del correo electr�nico. El ransomware CryptFIle2 utiliza el algoritmo de cifrado RSA de 2048 bits.
Ransomware BrLock
Este ransomware apareci� la semana pasada, por lo que a�n no ha tenido tiempo material para infectar a muchos usuarios y, se da la particularidad de que esta amenaza no es de tipo criptoransomware, es decir, no cifra la informaci�n, sino que "simplemente" bloquea el ordenador, solicitando el pago de entre 100 y 400 d�lares para volver a tener acceso al mismo.
Ransomware MM Locker
Este ransomware tambi�n fue descubierto a primeros de marzo, cifra los archivos de sus v�ctimas y les a�ade la extensi�n ".locked".
Una peculiaridad del ransomware MM Locker es su nota de rescate, que es bastante larga y en la que el delincuente intenta convencer a la v�ctima de que pague, casi llegando al punto de suplicarle.
Sin embargo, es muy importante destacar que en el caso de este ransomware MM Locker, una vez realizado el pago, JAM�S se obtiene la clave de descifrado.
Como vemos, siguen surgiendo nuevas familias de ransomware, as� como variantes y versiones de los que ya exist�an previamente, por lo que es imprescindible protegerse en lo posible de este tipo de amenazas siendo precavidos a la hora de abrir documentos adjuntos o pinchar en links desconocidos, as� como instalando una licencia del software de seguridad RANSOMWARDIAN en los ordenadores con sistema operativo Windows.
28/04/2016 Noticia Ransomware
Si hace tan s�lo unos d�as habl�bamos de que ya se estaba difundiendo una nueva versi�n de TeslaCrypt 4.1., hoy podemos confirmar que los ciberdelincuentes ya han sacado la versi�n 4.2. del ransomware TeslaCrypt.
De hecho, podr�amos decir que esta nueva versi�n est� reci�n salida del horno, ya que ha sido lanzada hoy mismo y contiene bastantes modificaciones en relaci�n a c�mo se ejecuta el programa. El cambio m�s notable, sin embargo, es la renovaci�n de la nota de rescate. La nota de rescate que mostramos a continuaci�n es ahora m�s "minimalista" y se centra en lo esencial, mostrando s�lo la informaci�n necesaria para que la v�ctima se conecte a los Servidores de pago.
A nivel m�s t�cnico, el ransomware TeslaCrypt 4.2. muestra los siguientes cambios:
El ransomware TeslaCrypt es tristemente famoso por su gran capacidad de propagaci�n e infecci�n debido a las importantes campa�as que realiza para difundirse, recordamos que a principios de este mismo mes de abril ha habido una gran campa�a de e-mails simulando ser de Correos, que infectaban a los usuarios con el ransomware TeslaCrypt y en febrero este mismo ransomware atac� a webs que utilizaban WordPress.
Por eso insistimos m�s que nunca que no se abran correos inesperados o sospechosos y mucho menos sus archivos adjuntos. Adem�s, deben mantener sus antivirus actualizados, una licencia de RANSOMWARDIAN instalada en cada equipo y realizar backup externo.
26/04/2016 Noticia Ransomware
Una nueva variante de ransomware afecta a ciertos dispositivos Android con el simple hecho de visitar una p�gina web que incluye c�digo Javascript contaminado con el virus, sin necesidad de m�s interacci�n por parte del usuario: no es preciso pinchar en ning�n link concreto ni abrir ning�n archivo. Lo grave en este caso es que el proceso se realiza sin que el usuario sea consciente en ning�n momento de que est� siendo infectado, ya que que no requiere ninguna confirmaci�n por parte de �ste.
El exploit se aprovecha de una vulnerabilidad en una librer�a de Android para permitir a los atacantes descargar un elemento para conseguir los privilegios de root (o superusuario) en el dispositivo, adquiriendo el control absoluto sobre el dispositivo. Una vez que han obtenido el acceso en modo root, descargar�n silenciosamente y sin que la v�ctima se percate debido a que ya no necesitan ning�n permiso de la v�ctima, un ejecutable que contiene el ransomare.
El nombre de este troyano ransomware es Cyber.Police y se detect� por primera vez en diciembre de 2014. En comparaci�n con el ransomware para pc que cifra los archivos, Cyber.Police "�nicamente" bloquea la pantalla del usuario y le exige que compre 2 tarjetas regalo de iTunes de Apple para desbloquear el dispositivo.
Este ataque de ransomware se est� dirigiendo a dispositivos con versiones de Android entre la 4.0.3 y la 4.4.4. Siempre que el dispositivo lo permita, recomendamos que quienes tengan esas versiones de Android las actualicen a una versi�n superior a la 4.4.4.
25/04/2016 Noticia Ransomware
Se trata de una variante de ransomware 7ev3n, que se ha nombrado a s� mismo como 7ev3n-HONE$T. Este ransomware cifra los datos y luego solicita un rescate de unos 400 euros en bitcoins. Actualmente se desconoce la forma en que se distribuye o qu� tipo de cifrado utiliza, por lo que, desafortunadamente, no hay manera de descifrar los archivos sin pagar el rescate.
Cuando el ransomware 7ev3n-HONE$T cifra la informaci�n, renombra los archivos a n�meros secuenciales utilizando la extensi�n .R5A. Por ejemplo, los nombres de los archivos de una carpeta cambiar�an a 1.R5A, 2.R5A, 3.R5A, etc. 7ev3n-HONE$T a continuaci�n a�adir� el nombre del archivo cifrado al directorio C:\Users\Public\files.
Cuando finalice de encriptar la informaci�n, el ransomware mostrar� varias ventanas:
La primera ventana es la ventana principla de bloqueo y muestra la nota de rescate y la direcci�n bitcoin en la que se deber� enviar el pago.
La segunda ventan permite a la v�ctima desencriptar de 3 a 5 archivos, para que compruebe que una vez realizado el pago, los archivos efectivamente se podr�n descifrar.
La tercera ventana muestra una lista de los archivos encriptados.
Y la cuarta ventana ofrece informaci�n sobre c�mo pagar el rescate.
22/04/2016 Noticia Ransomware
Uno de los ransomware tristemente m�s populares es TeslaCrypt, que ahora ha sido mejorado por sus creadores y han puesto en marcha su versi�n 4.1b. Una variante que nuestros expertos estiman que lleva una semana en circulaci�n y llega con caracter�sticas mejoradas.
Esta nueva versi�n del ransomware TeslaCrypt 4.1b es capaz de encriptar muchos m�s tipos de archivos que antes, haciendo que una vez infectados por esta versi�n, habr� muchos m�s archivos a los que las v�ctimas no tendr�n acceso. Adem�s, se a�ade el hecho de que esta nueva versi�n utiliza el est�ndar de cifrado AES 256, haciendo pr�cticamente imposible la recuperaci�n de los archivos encriptados por otros medios.
La manera de distribuirse es id�ntica a la de sus anteriores versiones y llega a los equipos a trav�s de un fichero adjunto en diferentes campa�as de correo electr�nico. Cuando las v�ctimas se disponen a abrir el fichero, que habitualmente va en formato .ZIP, un c�digo Javascript se ejecuta en el equipo para descargar el ransomware TeslaCrypt.
Una vez que esto ocurre la situaci�n se complica, puesto que esta versi�n 4.1b del ransomware TeslaCrypt tambi�n incluye una funci�n anti-monitoreo para evitar ser detectada.
Por si todo lo anterior fuera poco, esta versi�n 4.1b de TeslaCrypt persiste en los equipos infectados gracias a que es capaz de realizar una copia de s� mismo en el disco duro y crear una nueva entrada en el registro que apunte a esa copia.
Dada la virulencia de esta nueva versi�n de TeslaCrypt y a las importantes campa�as de env�os de e-mails que est�n realizando para difundirse, se recomienda m�s que nunca a los usuarios que sean precavidos y no abran correos inesperados o sospechosos y mucho menos sus archivos adjuntos. Adem�s, deben mantener sus antivirus actualizados, una licencia de RANSOMWARDIAN instalada en cada equipo y copias de seguridad externas
21/04/2016 Noticia Ransomware
Nuestro Laboratorio ha descubierto un nuevo ransomware llamado CryptoBit, que infecta a los usuarios a trav�s de exploits. Las primeras infecciones aparecieron a principios de abril y nuestros investigadores de seguridad afirman que el ransomware es algo raro en su modo de funcionamiento.
En la muestra del ransomware Cryptobit analizada por nuestros t�cnicos, existe una ausencia pr�cticamente total de cadenas de texto, indicio evidente de que el autor ha querido dificultar el an�lisis de su c�digo. Adem�s, hemos podido determinar que el m�todo utilizado para distribuir el ransomware Cryptobit est� siendo el uso de kits de exploits que afectan a diferentes navegadores web.
Tras infectar el equipo, el ransomware CryptoBit se dirige por defecto a 96 tipos de archivos concretos, en busca de archivos de almacenamiento de datos habituales, como im�genes, carpetas de archivos, bases de datos y documentos de Office.
Una vez que el ransomware CryptoBit identifica todos los archivos valiosos, procede a cifrarlos usando el algoritmo AES, que utiliza una clave para el cifrado y el descifrado, generando, en cada ejecuci�n, una clave aleatoria de 256 bits, lo que hace pr�cticamente imposible descifrar los ficheros salvo que �sta sea conocida.
Tras terminar el proceso de cifrado, CryptoBit muestra una nota de rescate como la siguiente, indicando al usuario que sus archivos han sido encriptados y debe ponerse en contacto con el autor del ransomware trav�s de una direcci�n de correo electr�nico o la red bitmessage, utilizando una identificaci�n especial que le suministra.
NOTA: no confundir este nuevo ransomware Cryptobit con otro ransomware llamado Cryptorbit, que fue muy activo durante el a�o 2014.
Como puede observarse, el fen�meno ransomware va en aumento y casi diariamente nos encontramos con nuevas variantes que van surgiendo, siendo cada vez m�s inexpugnables debido a que se est� extendiendo el uso de m�todos de cifrado cada vez m�s potentes, por lo que es de suma importancia mantener el antivirus actualizado, instalar RANSOMWARDIAN y hacer backups o copias de seguridad de los datos importantes.
19/04/2016 Noticia Ransomware
El ransomware CryptXXX es una nueva variante recientemente descubierta que, adem�s de encriptar los datos de la v�ctima, tambi�n es capaz de robar sus Bitcoins, junto con las contrase�as y otros datos personales del usuario.
Este ransomware se distribuye a trav�s de p�ginas web que alojan un kit de exploits que se aprovecha de vulnerabilidades para introducir malware de fraude por clic en los ordenadores de los usuarios.
Dicho kit de exploits es conocido por tener la capacidad de descargar malware, por lo que en una segunda fase procede a descargar en el equipo de la v�ctima el ransomware CryptXXX como un archivo de ejecuci�n aplazada, estableciendo que espere 62 minutos antes de ejecutarse, para que el usuario no se d� cuenta desde un primer momento.
Tras infectar a sus v�ctimas, el ransomware CryptXXX cambia el fondo de escritorio de los usuarios por su nota de rescate y deja a su vez un reguero de notas de rescate por todo el equipo.
Se da la peculiaridad de que este ransomware incluye la caracter�stica de robar informaci�n del usuario. El ransomware CryptXXX es capaz de recabar informaci�n y contrase�as acerca de los clientes de los programas locales de mensajer�a instant�nea, clientes de correo electr�nico, clientes FTP y navegadores de Internet. Adem�s, tambi�n tiene la capacidad de robar Bitcoins de las v�ctimas.
Desafortunadamente y dada la gran experiencia y conocimientos del creador de este nuevo ransomware, mucho nos tememos que el ransomware CryptXXX podr� tener el mismo impacto que Locky, que se convirti� en una de las tres principales familias de ransomware, extendi�ndose r�pidamente a nivel mundial.
Hoy m�s que nunca resulta imprescindible contar con la protecci�n adecuada frente a estas amenazas. Los profesionales espa�oles del sector de la inform�tica ya est�n usando la aplicaci�n de seguridad RANSOMWARDIAN en sus sistemas y los de sus principales clientes.
18/04/2016 Noticia Ransomware
Nuestros especialistas han observado un cambio en el modo de operar del malware Kovter, que se ha transformado poco a poco en una variante d�bil de cripto-ransomware.
El malware Kovter comenz� su andadura en el 2013 como una versi�n simple de ransomware que bloqueaba los ordenadores y mostraba un mensaje indicando a las v�ctimas que deb�an pagar una multa o se enfrentar�an a acciones legales de lo contrario. En la mayor�a de los casos, este mensaje inclu�a insignias e im�genes espec�ficas de la Polic�a del pa�s de origen del usuario afectado.
Como este tipo de campa�as comenzaron a ser ineficaces, para el a�o 2014 Kovter evolucion� y se especializ� en actividades de fraude por clic, abriendo y haciendo clic en anuncios a espaldas del usuario.
Esto dur� dos a�os, tiempo durante el cual el malware se hizo famoso por la velocidad con la que se desarrollaba, siempre a�adiendo nuevas caracter�sticas.
El punto �lgido de este ciclo de actualizaci�n sin fin lleg� el pasado oto�o, cuando Kovter se convirti� en una amenaza que no necesitaba archivo y que viv�a en la memoria y registro de Windows del PC infectado.
Viendo que el ransomware se ha convertido en un gran negocio para los ciberdelincuentes en los �ltimos tiempos, los autores de Kovter se han subido al carro y han decidido modificar el c�digo fuente de Kovter una vez m�s, volviendo a convertirlo en ransomware, aunque esta nueva versi�n de ransomware no se parece a la versi�n original de los inicios de Kovter, ya que, en lugar de bloquear los ordenadores de los usuarios, Kovter ahora encripta sus archivos.
La peculiaridad de Kovter es que no encripta todo el archivo, sino �nicamente los primeros bytes de cada archivo y luego almacena la clave de cifrado en el propio disco duro.
Lo que resulta llamativo en Kovter es que sus autores parecen haberse preocupado m�s por evitar la detecci�n por parte de los antivirus tradicionales que de utilizar un algoritmo de cifrado fuerte.
S�lo a lo largo del a�o 2015 se detectaron 753.684 ordenadores infectados por ransomware (declarados). De ellos, el 24% fueron v�ctimas del ransomware Cryptolocker, estim�ndose que este ransomware ha reportado hasta el momento unos 3 millones de d�lares a sus creadores.
Los usuarios y empresas deben tomar medidas como instalar RANSOMWARDIAN en cada equipo para reducir el riesgo y concienciarse sobre estas amenazas para reducir as� los incidentes inform�ticos, ya que el 80% de los mismos suelen ser causador por errores humanos.
15/04/2016 Noticia Ransomware
Manamecrypt o CryptoHost, son los dos nombres con los que se conoce al nuevo ramsoware detectado que, adem�s de cifrar los archivos en un archivo comprimido protegido por contrase�a y borrar los originales, tambi�n impide que se ejecuten algunos de los programas que haya en el ordenador infectado.
Su forma de infectar a los usuarios es camufl�ndose en algunas versiones de programas de descarga de torrents, algo poco habitual hasta ahora en este tipo de malware.
La diferencia fundamental entre el ransomware Manamecrypt y otros tipos de ransomware de cifrado es la siguiente: la muestra analizada no se propaga mediante archivos adjuntos de correo electr�nico o a trav�s de un paquete de exploits. En su lugar, se a�na en un software leg�timo y, por lo tanto, puede ser clasificado como un troyano cl�sico. El paquete consta de programa cliente uTorrent con el componente de malware empaquetado en el mismo.
El ransomware sigue siendo una de las ciberamenazas m�s peligrosas. Manamecrypt/Cryptohost difiere en algunos aspectos del ransomware analizado anteriormente. El modo de propagaci�n, el m�todo de cifrado y el bloqueo de los programas son las diferencias m�s acusadas.
La clave para evitar ser v�ctima de este tipo de ataques sigue siendo la prevenci�n, utilizando una aplicaci�n de seguridad anti ransomware como RANSOMWARDIAN, descargando programas �nicamente desde la web oficial de los fabricantes, haciendo copias de seguridad y manteniendo el sistema y las aplicaciones siempre actualizadas.
13/04/2016 Noticia Ransomware
Creemos que el siguiente paso natural de la evoluci�n para los virus ransomware ser� integrar la caracter�stica de autopropagaci�n vista en los virus "gusanos" (worms) de la vieja escuela que causaron estragos en los a�os 90 y principios de 2000.
La hip�tesis es que los atacantes intentar�n crear familias ransomware mucho m�s vers�tiles, que, adem�s de utilizar el cifrado para bloquear los archivos del usuario, incorporar�n diferentes m�dulos entre los que se incluir�a uno de auto-propagaci�n.
De esta manera, mientras que ahora es necesaria la intervenci�n de un ser humano para conseguir que el ransomware infecte los equipos haciendo clic en alg�n archivo adjunto en un correo electr�nico o similar, la capacidad para propagarse e infectar otros equipos de manera autom�tica convertir�a esta amenaza en algo a�n m�s peligroso.
Ya hemos observado estas caracter�sticas en el ransomware SamSam (tambi�n conocido como Samas), aunque de momento de un modo muy simple y limitado.
El ransomware SamSam ya ha conseguido algunas v�ctimas de perfil alto en el sector sanitario y creemos que otros ciberdelincuentes podr�an seguir su ejemplo y orientarse a conseguir penetrar en redes, dejando que el ransomware busque e infecte otros ordenadores �l mismo.
Este tipo de comportamiento har� que el ransomware pueda convertirse en una plaga con much�simas m�s v�ctimas, sin apenas necesidad de la colaboraci�n humana. En lugar de tener que enga�ar a cada v�ctima como ahora para que descarguen y ejecuten archivos maliciosos de ransomware, estos nuevos tipos de ransomware (criptogusanos) s�lo necesitar�n una o dos personas como v�ctimas.
Las infecciones de ransomware con este nuevo m�todo pueden convertirse en virales, afecta a cientos o incluso miles de ordenadores, sobre todo en las redes corporativas o gubernamentales m�s grandes, donde la mayor parte de equipos inform�ticos est�n vinculados entre s�.
Aunque las grandes empresas y agencias gubernamentales ponen grandes medidas de seguridad en los accesos f�sicos a sus edificios, pocas veces segmentan las redes inform�ticas internas como dictan los procedimientos de seguridad.
Ahora m�s que nunca resulta imprescindible protegerse y poner medidas para evitar el acceso y ataque del ransomware, instalando RANSOMWARDIAN en cada equipo que forme parte de las redes inform�ticas.
12/04/2016 Noticia Ransomware
Ha surgido una peligrosa nueva variante de ransomware llamado Jigsaw cuya novedad es que elimina los archivos del usuario si no paga el rescate solicitado a su debido tiempo, o cuando la v�ctima reinicia el ordenador, borrando 1.000 archivos en cada nuevo reinicio.
A�n desconocemos la forma en que este ransomware llega a los ordenadores, pero lo que s� sabemos es que una vez que se ejecuta el ransomware Jigsaw, se dirige a 226 tipos diferentes de archivos, cifra todo su contenido y a�ade la extensi�n .fun al final de cada nombre de archivo.
Una vez finalizado este proceso, se muestra en la pantalla de la v�ctima la nota de rescate que incluye la imagen del famoso personaje de la serie de pel�culas de terror Saw llamado Jigsaw, de ah� el nombre de este ransomware.
El ransomware solicita el pago del rescate, pero hay una trampa . Para forzar a la v�ctima a pagar el rescate lo m�s r�pido posible, el ransomware Jigsaw juega con el usuario y amenaza con eliminar algunos de sus archivos cada hora.
La mala noticia es que el ransomware Jigsaw cumple su palabra y comienza a borrar cada vez m�s archivos. Y, lo que es peor, con cada reinicio del PC, el ransomware tambi�n elimina otros 1.000 archivos adicionales cada vez.
Resulta imprescindible protegerse de este tipo de ataques, poniendo todos los medios posibles. Todos los que se indican a continuaci�n son complementarios y deben tenerse en cuenta para evitar todo lo posible ser v�ctimas del ransomware:
11/04/2016 Noticia Ransomware
Representantes del Distrito Escolar Independiente del Noreste, en Texas, EE.UU., han admitido que muchos de sus centros escolares han sido v�ctimas de la reciente oleada de infecciones por ransomware que est�n operando a nivel mundial.
Seg�n la cadena de televisi�n local KENS5, las infecciones por ransomware han sucedido a lo largo de los �ltimos dos meses y han afectado a 20 escuelas.
Actualmente se desconoce qu� variante de ransomware ha sido la que ha infectado a estas instituciones, pero s� se sabe que encriptaron alrededor de 2,5 TB de informaci�n.
La buena noticia es que en esta ocasi�n las escuelas afectadas ten�an copias de seguridad que no se han visto comprometidas por el ataque ransomware y fueron capaces de recuperar sus archivos sin pagar el rescate solicitado, pero este no fue el caso de muchas infecciones por ransomware anteriores, que afectaron a hospitales, Iglesias, escuelas e incluso Juzgados, la mayor�a de los cuales tienen significativamente m�s fondos que una escuela de Texas, pero que se vieron obligados a pagar los rescates exigidos por los ciberdelincuentes, debido a que no hab�an invertidio en medidas de seguridad inform�tica como copias de seguridad externas y aplicaciones de protecci�n como RANSOMWARDIAN.
Debido al cada vez m�s alto n�mero de infecciones ransomware, las autoridades de Estados Unidos y Canad� emitieron la semana pasada una alerta cibern�tica oficial con respecto a la creciente amenaza de ransomware.
08/04/2016 Noticia Ransomware
Tras emitir una alerta de seguridad hace dos d�as, Adobe ha lanzado un nuevo parche para Flash Player que corrige un peligroso error "de d�a cero" (Zero-Day) que se estaba utilizando para difundir ransomware.
Identificado como CVE-2016-1019, este exploit estaba siendo utilizado para infectar a los usuarios con ransomwares de las familias Cerber y Locky.
Adobe explic� que la vulnerabilidad fue utilizada para atacar equipos de trabajo que ejecutaban Adobe Flash Player 20.0.0.306 y versiones anteriores. M�s tarde se descubri� que los ataques tambi�n podr�an tener �xito en las versiones m�s recientes de Windows, como Windows 10.
A pesar de que este nuevo exploit pod�a funcionar en cualquier versi�n de Adoble Flash incluyendo las versiones totalmente parcheadas, los delincuentes se centraron �nicamente en atacar las versiones m�s antiguas de Flash.
Adem�s de esta vulnerabilidad altamente peligrosa, Adobe ha parcheado otros 23 errores.
Las actualizaciones de Flash para Windows, Mac y Linux han sido publicadas y est�n disponibles para su descarga. La �ltima version de Adobe Flash Player para Windows y Mac es la 21.0.0.213 y para Linux es la 11.2.202.616 (datos a fecha de hoy 08/04/2016).
El Adobe Flash Player instalado en Google Chrome, Microsoft Edge e Internet Explorer (para Windows 10) se actualizar� autom�ticamente a la �ltima versi�n.
06/04/2016 Noticia Ransomware
Desde que supimos del primer caso de infecci�n por ransomware en un hospital de Hollywood el pasado febrero, este tipo de ataques han estado fuera de control afectando a numerosos hospitales en todo el mundo, causando la ralentizaci�n de sus sistemas o incluso la paralizaci�n total de sus actividades en los casos m�s graves.
Para hacernos una idea de la gravedad de los hechos, debemos tener en cuenta que hoy en d�a todos los datos se almacenan en ordenadores, los historiales m�dicos, pruebas, placas, radiograf�as, medicaci�n a suministrar a cada paciente, dietas espec�ficas para cada enfermo e incluso m�ltiples aparatos necesarios para realizar intervenciones quir�rgicas se manejan a trav�s del ordenador.
El primer caso posterior al del Hospital de Hollywood fue una infecci�n de ransomware que atac� a la Junta de Salud del Distrito Whanganui en Nueva Zelanda, que se vi� afectado por el ransomware Locky.
Las siguientes v�ctimas del ransomware fueron dos hospitales alemanes: el Hospital Lukas en la ciudad de Neuss y el hospital Klinikum Arnsberg en Renania del Norte-Westfalia. Seg�n los medios locales, los m�dicos tuvieron que volver a usar bol�grafo y papel para redactar sus informes y recetas.
Probablemente el m�s afectado de todos fue la siguiente v�ctima, el Hospital Metodista de Henderson, Kentucky, que tuvo que declararse en "estado de emergencia" despu�s de sufrir una infecci�n por el ransomware Locky.
Tras eso, la cadena de hospitales MedStar Salud inform� tambi�n de numerosas infecciones por ransomware en los hospitales de Washington (Georgetown University Hospital) y �reas cercanas.
En los �ltimos d�as 2 nuevas v�ctimas se han a�adido a la lista de hospitales afectados por ransomware, uno en California y otro en Indiana, habiendo sido este �ltimo afectado tambi�n por Locky.
Afortunadamente, en este �ltimo caso los da�os han sido m�nimos debido a la rapidez con la que el equipo inform�tico del Hospital neutraliz� la amenaza al tener constancia de que el ordenador de un s�lo empleado hab�a sido infectado inicialmente, no dejando que dicha infecci�n se propagase al resto de equipos inform�ticos.
Desde RANSOMWARDIAN estamos educando a empleados de empresas e instituciones en la importancia de la prevenci�n y de estar alerta ante estas nuevas amenazas de ransomware que, sobre todo, se aprovechan de la mayor "vulnerabilidad" que es el factor humano.
Por ello recomendamos mantenerse alerta ante correos, archivos adjuntos y links de elementos sospechosos, inesperados o que no sean de confianza, evitar abrir todo tipo de archivos y enlaces y contar con una licencia de RANSOMWARDIAN actualizada en cada equipo inform�tico.
05/04/2016 Noticia Ransomware
El pasado mes de marzo ha sido el m�s activo en cuanto a ransomware debido a la propagaci�n de m�ltiples variantes en sucesivas oleadas, situ�ndose Espa�a entre los pa�ses en los que se han observado m�s detecciones. Las variantes de ransomware que han conseguido una mayor tasa de propagaci�n han sido Locky y TeslaCrypt.
Destaca el regreso de TeslaCrypt en forma de mensaje de correo electr�nico que suplanta a Correos. Otra variante que ha regresado con fuerza es CTB-Locker, en esta ocasi�n orientado a cifrar archivos en Servidores web para afectar a las webs que alojan.
Tambi�n se ha observado nuevas muestras de ransomware con alguna particularidad que los diferenciaba del resto, como Petya, que cifra una parte del sector de arranque del disco que se utiliza para poder ubicar todos los ficheros almacenados, dejando as� el ordenador completo inutilizable.
Windows no ha sido el �nico sistema operativo afectado por el ransomware. Adem�s de los casos analizados en meses anteriores que afectaban a dispositivos Android e incluso a alg�n que otro servidor Linux, en marzo Mac OS ha sido el objetivo del nuevo ransomware KeRanger.
En la mayor�a de los ataques de ransomware de marzo, los delincuentes utilizaron el correo electr�nico como principal medio para la infecci�n, empleando distintos asuntos para tratar de enga�ar a sus v�ctimas y conseguir que ejecutaran el archivo adjunto malicioso. Otra t�cnica utilizada ha sido la inserci�n de publicidad maliciosa en sitios web con muchas visitas.
Las infecciones por ransomware han llegado a niveles preocupantes durante el mes de marzo, por lo que debemos protegernos ante este tipo de amenazas, y la mejor forma de prevenir que afecten a nuestros sistemas instalando una licencia de RANSOMWARDIAN y contando con copias de seguridad actualizadas.
04/04/2016 Noticia Ransomware
El ransomware Rokku es una nueva amenaza que se est� difundiendo a trav�s de archivos adjuntos en correos electr�nicos. Tras infectarse, los archivos de la v�ctima son cifrados y posteriormente solicita un rescate econ�mico por ellos. Actualmente no hay ninguna manera de recuperar esos datos por otros medios.
Cuando Rokku se instala, cifra los archivos y les a�ade la extensi�n .rokku, con la peculiaridad de que utiliza una clave �nica para cifrar cada archivo. De esta manera, cuando la v�ctima se dirige a pagar el rescate para recuperar sus archivos, en primer lugar tiene la opci�n de subir uno de los archivos encriptados y los delincuentes le suministrar�n su clave como demostraci�n de que podr� recuperar su informaci�n, pero esta clave no servir� para el resto de archivos cifrados.
Adem�s, que sepamos, se trata del primer ransomware que utiliza el algoritmo de cifrado llamado Salsa20, que posee una velocidad de cifrado mucho mayor que el cifrado AES habitual.
Tanto en cada carpeta cifrada por el ransomware Rokku como en la carpeta de inicio, crea 2 notas de rescate con informaci�n sobre lo sucedido y los links para ir al sitio de pago del rescate.
Como siempre, lo importante es la PREVENCI�N: no abrir archivos de remitentes desconocidos o de correos sospechosos, no pinchar en cualquier link y mantener los equipos inform�ticos y los archivos protegidos con el programa RANSOMWARDIAN.
01/04/2016 Noticia Ransomware
Una nueva amenaza de ransomware llamado PowerWare se dirige ahora a los archivos de la Declaraci�n de la Renta creados por los programas de declaraci�n de impuestos y los encripta. Mientras otros ransomware recurren a instaladores para llegar al equipo y posteriormente proceder al cifrado de los datos, en esta ocasi�n el ransomware PowerWare utiliza archivos de Microsoft Word con macros y comandos que se ejecutan haciendo uso de la PowerShell de los sistemas operativos Windows para llegar al equipo y proceder posteriormente a encriptar informaci�n. Pero adem�s PowerWare es capaz de cifrar otros archivos almacenados en el ordenador , no s�lo los archivos de las declaraciones de impuestos, que es en los que se centra inicialmente.
El m�todo de infecci�n del ransomware PowerWare est� siendo sobre todo v�a correos electr�nicos con adjuntos de archivos Word, aunque tambi�n se puede encontrar en p�ginas de internet de descarga de contenidos.
Primero se descarga el archivo Word que contiene la macro que provoca la descarga del instalador de la amenaza ransomware, pero para que esto ocurra, el usuario debe primero abandonar el modo seguro de visualizaci�n del documento y posteriormente activar esta funci�n que permite la ejecuci�n de esta porci�n de c�digo. En el propio documento enviado se encuentran instrucciones para realizar dicho proceso, haciendo creer al usuario que sin esta funci�n no podr� visualizar de forma correcta el contenido.
Una vez se ha producido la descarga del ejecutable con nombre cmd.exe, este interact�a con la l�nea de comandos generando en primer lugar una clave de cifrado fuerte RSA de 2048 bits que se env�a al Servidor de control remoto. Una vez completado este proceso, comienza el cifrado de la informaci�n y posteriormente la solicitud de 500 d�lares para recuperarlos.
Los usuarios deben ser informados de que cada vez hay m�s amenazas ransomware y deben ser cautelosos con todos aquellos correos electr�nicos que no provengan de fuentes de confianza o que, incluso siendo de remitentes conocidos, soliciten algo que les resulte extra�o. Adem�s, debe limitarse la navegaci�n a trav�s de sitios web que no sean de confianza y evitar hacer clic en cualquier link.
Adem�s de estas precauciones, es altamente recomendable tener instalado en cada equipo el programa RANSOMWARDIAN, que protege frente al ataque de los ransomware que cifran la informaci�n.
31/03/2016 Noticia Ransomware
Hemos descubierto un nuevo ransomware llamado KimcilWare que ataca a sitios web que utilizan la soluci�n de comercio electr�nico Magento. De momento se desconoce de qu� manera est�n consiguiendo acceder, pero las v�ctimas encuentran sus archivos del sitio web encriptados usando un m�todo de cifrado Rijndael, a los que a�ade la extensi�n .kimcilware dejando la tienda online inutilizable y reciben una solicitud de rescate mediante el pago de unos 400 euros. Desafortunadamente, actualmente no existe ninguna manera de descifrar los datos.
Adem�s, el ransomware KimcilWare a�ade su propio archivo de �ndice (index) en el Servidor y una p�gina con fondo negro sustituye a la p�gina de inicio de la tienda web, con el texto "Servidor web cifrado" como titular en rojo, m�s la nota de rescate que dice "Los archivos del servidor web ha sido cifrados con un algoritmo de cifrado Unix. Debe pagar $ para descifrar los archivos del servidor web. Pago �nicamente a trav�s de Bitcoin. Para obtener m�s informaci�n p�ngase en contacto conmigo en el e-mail... "
El equipo de Magento nos ha informado de que, como medida de precauci�n, han desactivado la extensi�n Helios Galer�a de Video Vimeo.
Aclaramos que KimcilWare es un ransomware basado en web que te�ricamente podr�a infectar cualquier plataforma. El atacante que se encuentra detr�s de esta amenaza aparentemente se dirige a tiendas de Magento en este momento, pero eso no quiere decir que no pueda extenderse a otras plataformas .
El ransomware KimcilWare s�lo est� en su primera etapa y dado que a�n no hay detalles en profundidad acerca de su modo de funcionamiento, puede causar estragos entre los propietarios de las tiendas bajo Magento.
Por lo tanto, nuestra recomendaci�n para todos los propietarios de tiendas online de Magento es que se aseguren de que tienen contrase�as seguras para sus cuentas de Administrador y que actualicen a la �ltima versi�n de tienda Magento tan pronto como sea posible, o bien instalen todos los parches disponibles para cualquier versi�n que est�n ejecutando.
30/03/2016 Noticia Ransomware
El peri�dico "Estrategia Empresarial", especializado en noticias sobre el sector empresarial, as� como en las novedades en productos y servicios de las principales empresas, ha publicado un art�culo sobre nuestro software RANSOMWARDIAN tanto en su versi�n impresa como digital, en el que, adem�s de hablar sobre la aplicaci�n, explica la situaci�n actual y previsiones en el campo de la seguridad inform�tica.
Si lo desea, puede leer la noticia completa en la versi�n digital del peri�dico:
http://www.estrategia.net/estrategia/eNet/tabid/667/ItemID/55250/View/Details/Default.aspx29/03/2016 Noticia Ransomware
En los �ltimos d�as hemos descubierto una nueva amenaza; se trata del ransomware Petya que se propaga a trav�s de un correo electr�nico de demanda de empleo, que incluye instrucciones para descargar un curr�culum alojado en una carpeta de Dropbox. Al hacer clic en el enlace, las v�ctimas ver�n c�mo se descarga un archivo llamado application_portfolio-packed.exe en su PC.
Esta nueva amenaza busca los archivos m�s importantes para cifrarlos hasta que toma el control de todo el ordenador, inutilizando la totalidad del equipo al tomar el control del proceso de arranque.
El ransomware Petya busca los archivos m�s importantes para cifrarlos, hasta que toma el control de todo el ordenador. Para lograr su objetivo, el atacante env�a un correo electr�nico aparentemente inocuo que aparenta proceder de un solicitante de empleo, con instrucciones para descargar un curr�culum alojado en una carpeta de Dropbox. Naturalmente, el curr�culum es realmente un ransomware, que inmediatamente destroza el registro de inicio, bloqueando el equipo.
Al reiniciar el ordenador, aparece un falso mensaje diciendo que es necesario corregir los errores, lo que puede durar varias horas. Durante este tiempo, en realidad lo que hace el ransomware es encriptar todo el disco duro. Una vez completado el proceso, con el pr�ximo inicio el usuario se enfrenta con la triste realidad: o paga el rescate solicitado o pierde el acceso a todo el contenido del disco duro. El importe del rescate se duplica despu�s de siete d�as.
V�deo en el que se puede ver c�mo act�a el ransomware Petya:
Nuestro consejo, como tantas otras veces, es no abrir jam�s archivos adjuntos ni pinchar en enlaces de remitentes desconocidos o de correos que, aunque provengan de remitentes conocidos, nos resulten raros por inusuales o sospechosos. Es preferible contactar telef�nicamente con el remitente (si le conocemos) y confirmar si realmente nos ha enviado algo o se trata de un enga�o.
Adem�s, para proteger nuestro ordenador del ataque de este tipo de amenazas, es altamente recomendable tener instalado el programa RANSOMWARDIAN, que protege nuestro equipo y sobre todo nuestros archivos, de los ataques de ransomware.
22/03/2016 Noticia Ransomware
En las �ltimas semanas hemos descubierto una nueva familia de ransomware que infecta a los ordenadores de los usuarios a trav�s de instalaciones de TeamViewer pobremente securizadas y luego encripta todos sus datos, a�adiendo la extensi�n ".surprise" a todos los archivos.
T�cnicamente, el ransomware Surprise no tiene nada de especial respecto a otras familias de criptoransomware. El ransomware Surprise utiliza un algoritmo AES-256 para cifrar archivos los archivos y luego uno RSA -2048 para asegurar las claves de cifrado de cada archivo con una llave maestra.
El ransomware tiene como objetivo 474 extensiones de archivo diferentes y seg�n nuestros an�lisis, el ransomware Surprise es un nuevo clon de un ransomware de c�digo abierto dise�ado inicialmente para usos meramente educativos.
A medida que han ido infect�ndose m�s usuarios, hemos podido establecer un patr�n. Por lo visto, todas las infecciones se han producido en ordenadores que hab�an instalado TeamViewer. TeamViewer es una aplicaci�n de Windows que se puede utilizar para establecer una conexi�n entre dos ordenadores y permitir que una persona controle el PC de la otra.
Al analizar los registros de TeamViewer descubrimos que alguien accede a los ordenadores a trav�s de TeamViewer, descarga el archivo suprise.exe y luego lo ejecuta, cifrando sus archivos.
De momento no sabemos c�mo acceden los criminales a estas instalaciones de TeamViewer, pero hay dos explicaciones posibles:
Una es que exista alguna vulnerabilidad "zero-day"en TeamViewer que los delincuentes puedan utilizar para abrir las conexiones por la fuerza e introducir su ransomware. Esta opci�n es poco probable, principalmente debido a que los errores "zero-day" requieren mucha habilidad y conocimientos t�cnicos para descubrirlos.
La segunda explicaci�n es que los atacantes escanea internet para encontrar instalaciones de TeamViewer accesibles y luego utilizan ataques de fuerza bruta para acceder, utilizando cadenas de contrase�as de uso habitual.
Recomendamos por lo tanto descargar el programa TeamViewer �nicamente de la fuente oficial del mismo y proteger sus cuentas de usuario con contrase�as �nicas y seguras.
21/03/2016 Noticia Ransomware
Este nuevo ransomware llamado Samas tiene como objetivo a las redes corporativas y no s�lo a los usuarios particulares.
Una nueva familia de ransomware est� causando suficientes da�os como para que Microsoft y el FBI hayan tomado nota de sus acciones y hayan emitido un aviso p�blico en sus webs para advertir a las empresas de los peligros que rodean a esta nueva amenaza.
Detectado bajo los nombres de Samas, Kazi o RDN/Ransom, este ransomware lleva activo tan s�lo los �ltimos tres meses y ha infectado a usuarios en Europa, China, India y Estados Unidos.
Samas aprovecha el software de servidor JBOSS para extenderse por redes enteras.
La infecci�n del ransomware Samas se inicia cuando el atacante detecta un Servidor vulnerable. El FBI dice que en la mayor�a de los casos se trata de Servidores que est�n ejecutando una instalaci�n obsoleta de JBOSS y Microsoft a�ade que el atacante utiliza tambi�n vulnerabilidades en las aplicaciones Java.
Despu�s penetrar en el Servidor vulnerable, los delincuentes que est�n detr�s de Samas est�n utilizando una herramienta de c�digo abierto para escanear y despu�s mapear las redes internas.
Posteriormente los atacantes despliegan un troyano en el Servidor infectado, que recoge la informaci�n de acceso de los clientes de la red, y luego usando una herramienta de terceros y una serie de secuencias de comandos por lotes, despliegan finalmente el ransomware Samas a los PC de la red interna.
El ransomware SAMAS encripta el contenido con un potente algoritmo de cifrado RSA-2048 y a�ade la extensi�n "encrypted.RSA" al final de los archivos infectados, dejando en cada carpeta una nota de chantaje con las instrucciones para el pago del rescate.
Comparado con otras familias de ransomware que utilizan m�todos automatizados de distribuci�n como spam o publicidad maliciosa, Samas adopta un enfoque mucho m�s sofisticado que requiere de una gran cantidad de escaneo y hacking manual, lo que nos lleva a pensar que est� siendo desarrollado y administrado por personas con conocimientos t�cnicos avanzados y mucha experiencia en gesti�n de campa�as de ransomware.
Una raz�n para llevar a cabo un proceso tan complicado para infectar con este ransomware, es que los atacantes se dirigen a redes corporativas privadas donde pueden encontrar informaci�n muy valiosa que las empresas estar�an mucho m�s predispuestas a pagar para recuperar.
17/03/2016 Noticia Ransomware
Los sitios web de la BBC, The New York Times, MSN, AOL y la NFL entre otros 10 importantes medios de comunicaci�n y servicios, fueron v�ctimas de un ataque ransomware el pasado fin de semana. Estos portales tienen un tr�fico que, sumado, supera los 2.000 millones de usuarios �nicos mensuales. El ataque ocurri� el fin de semana pasado y fue dirigido especialmente a usuarios en Estados Unidos.
El ataque se ha producido a trav�s de una importante campa�a (la m�s grande de los �ltimos 2 a�os) que distribu�a ransomware en los ordenadores de los lectores de estos medios y portales a trav�s de los soportes de publicidad que utilizan dichas webs, aprovech�ndose de ciertas vulnerabilidades en las mismas.
Los cibercriminales aprovecharon una vulnerabilidad recientemente parcheada de Microsoft Silverlight y otros agujeros de seguridad, para introducir un exploit en los anuncios que fueron entregados a los medios a trav�s de las redes de publicidad Google, AOL y otras compa��as.
Cuando los anuncios infectados alcanzan a un usuario, �ste es redirigido a otra p�gina web donde un kit de exploits empieza a bombardear su PC en busca de una puerta trasera para instalar el ransomware que cifra sus datos y solicita un rescate en bitcoins a cambio de la clave para recuperar sus ficheros.
Como siempre en estos casos, lo importante es protegerse al m�ximo para evitar en la medida de lo posible ser v�ctimas del ransomware: instalar las �ltimas actualizaciones tanto del sistema operativo como de los programas utilizados, contar con un antivirus en funcionamiento y actualizado, un firewall activado, copias de seguridad externas convenientemente realizadas y actualizadas y una aplicaci�n de seguridad frente al ransomware como RANSOMWARDIAN para protegernos ante este tipo de virus maliciosos.
10/03/2016 Noticia Ransomware
Durante el �ltimo a�o, las infecciones por "cryptoransomware" (el tipo concreto de ransomware que cifra la informaci�n), han aumentado un 83% a nivel global y su incidencia va en aumento, posicion�ndose muy por encima del ransomware "b�sico" de bloqueo, que "�nicamente" bloquea los equipos inform�ticos sin cifrar la informaci�n.
Adem�s, la variante de ransomware m�s extendida en el �ltimo a�o ha sido la de CryptoWall, un virulento ransomware que cifra la informaci�n y solicita un rescate para su recuperaci�n, para el que, a d�a de hoy, no existe modo de descifrado de los datos.
Por su parte, se estima que el famoso ransomware Cryptolocker ha infectado a m�s de 234.000 ordenadores en todo el mundo (cantidad que el equipo de RANSOMWARDIAN considera en realidad muy superior, ya que las cifras que se manejan se basan �nicamente en v�ctimas que han denunciado el ataque).
Los cibercriminales han descubierto que el cifrado malicioso de datos seguido de una exigencia de rescate, puede ser muy rentable, debido a que para muchas empresas e instituciones, sus datos son el activo m�s valioso.
Desde instituciones financieras, gubernamentales, acad�micas y hospitales, cualquier organizaci�n puede ser v�ctima de un incidente causado por ransomware. La principal motivaci�n tras estas campa�as de extorsi�n es el dinero, evolucionando de los simples ransomware de tipo "locker", que solo bloquean el dispositivos pero no cifran la informaci�n, a los criptoransomwares, que han demostrado ser mucho m�s lucrativos para los cibercriminales.
Las consecuencias m�s habituales de un ataque por ransomware son:
Las empresas e instituciones v�ctimas de cryptoransomware, a menudo pagan sin darse cuenta de que no hay ninguna garant�a de que recuperar�n sus datos cuando paguen, y seg�n los an�lisis del equipo t�cnico de RANSOMWARDIAN, muchas variantes de ransomware est�n codificados muy pobremente a nivel t�cnico, por lo que en muchos casos, es imposible recuperar la informaci�n incluso aunque el cibercriminal desee hacerlo.
Los m�todos tradicionales de protecci�n de datos han dejado de ser suficientes y deben ser complementados con nuevas aplicaciones espec�ficas de seguridad como RANSOMWARDIAN para mantener el m�s alto nivel de seguridad corporativa y personal.
La mejor manera de proteger los datos y activos de la empresa o instituci�n es poner en pr�ctica medios de seguridad, acompa�adas de la conciencia y la educaci�n de los empleados y usuarios. Por otra parte, es esencial realizar copias de seguridad externas de los datos con regularidad.
Para ayudar a las empresas e instituciones de todos los tama�os a enfrentar la creciente amenaza de cryptoransomware y proteger la integridad de sus equipos y datos inform�ticos, RANSOMWARDIAN proporciona una protecci�n fiable contra las amenazas de ransomware conocidas y nuevas variantes que van surgiendo.
07/03/2016 Noticia Ransomware
El �nico ransomware conocido para OS X fue descubierto en 2014, fue denominado FileCoder pero estaba incompleto, mientras que el ransomware KeRanger s� es una versi�n totalmente terminada y muy efectiva de aplicaci�n maliciosa.
Por lo que los especialistas de RANSOMWARDIAN hemos podido saber, este ransomware se est� instalando a trav�s de Transmission, un popular cliente BitTorrent para Mac. Si un usuario instala KeRanger, un ejecutable embebido en la misma pasa a formar parte del sistema. Entonces KeRanger espera hasta 3 d�as para conectar con sus Servidores de control y comando en la red Tor. Una vez conectado a estos Servidores, comienza a cifrar ciertos tipos de documentos y archivos de datos del Sistema. Tras terminar el proceso, solicita a la v�ctima que pague en Bitcoins (moneda virtual dif�cil de rastrear) a una direcci�n espec�fica para poder recuperar sus archivos.
Adem�s, KeRanger tambi�n intenta cifrar el contenido de las copias de seguridad de Time Machine para prevenir que el usuario pueda recuperar informaci�n desde su copia de seguridad.
Como siempre, desde RANSOMWARDIAN aconsejamos tomar medidas de seguridad preventivas, tener instaladas las �ltimas actualizaciones del sistema y aplicaciones, sobre todo del antivirus, no descargar nada desde sitios que no sean de confianza ni abrir archivos de remitentes desconocidos.
29/02/2016 Noticia Ransomware
El pasado d�a 16 de febrero habl�bamos de un hospital de Los �ngeles que hab�a sido infectado por ransomware, ahora ha ocurrido lo mismo en los hospitales Lukas Hospital y el Klinikum Arnsberg Hospital, ambos en Alemania.
El ransomware ha paralizado el funcionamiento de los dos hospitales alemanes, oblig�ndoles incluso a aplazar algunas cirug�as de alto riesgo y pasar�n semanas hasta que todos los sistemas est�n de nuevo en funcionamiento.
El equipo de los hospitales se dio cuenta debido a que el sistema de rayos X quer�a acceder a los datos del sistema pero no pod�a encontrarlos porque hab�an sido cifrados.
Por lo visto, fue un archivo adjunto en un correo electr�nico lo que permiti� la entrada del ransomware en el sistema, afectando al Servidor con todos los datos de los hospitales.
�ste es s�lo un ejemplo de la peligrosidad del ransomware y lo grave que puede ser que acceda a los ordenadores y cifre los datos, que, como en este caso, son de gran importancia para las personas y tambi�n para las empresas e instituciones, ya que la infecci�n paraliza el normal funcionamiento de las mismas, con las consiguientes p�rdidas econ�micas y de reputaci�n.
�Qu� se puede hacer en estos casos? Desgraciadamente la virulencia del ransomware y la potencia del cifrado de la informaci�n que utilizan, hace imposible en la gran mayor�a de casos recuperar la informaci�n afectada por los mismos. Por lo tanto, en estos casos la �nica soluci�n est� en la PREVENCI�N, protegiendo los equipos inform�ticos y la valiosa informaci�n almacenada en ellos mediate la aplicaci�n RANSOMWARDIAN, un software de seguridad que protege de los ataques ransomware y el cifrado de la informaci�n.
25/02/2016 Noticia Ransomware
El ransomware es un problema cada vez mayor para los usuarios de dispositivos m�viles, de hecho, Espa�a es el 4� pa�s del mundo con m�s infecciones a m�viles. El bloqueo de pantalla y los virus maliciosos de cifrado tipo �cripto-ransomware�, est�n causando grandes p�rdidas de datos. Al igual que otros tipos de malware destinados a este sistema operativo � troyanos SMS, por ejemplo � las amenazas de ransomware han evolucionado en los �ltimos a�os y los creadores de malware han adopatdo muchas de las mismas t�cnicas que han demostrado ser eficaces en el ransomware para pc con sistema Windows.
El ransomware de bloqueo de pantalla, tanto en Windows como en Android, hoy en d�a suele ser del tipo �virus de la Polic�a�, es decir que intenta asustar a las v�ctimas para hacer que paguen una �multa� tras acusarlos (falsamente) de almacenar contenidos ilegales en sus dispositivos.
Del mismo modo (como ocurre con Cryptolocker, la temible familia de ransomware para Windows), el ransomware criptogr�fico para Android comenz� a usar m�todos fuertes de cifrado, lo que significa que los usuarios afectados no tienen pr�cticamente ninguna manera de recuperar sus archivos secuestrados. Y dado que ahora es m�s com�n guardar los datos de uso cotidiano como las fotograf�as en el smartphone en lugar de en el PC, la amenaza de la p�rdida de los datos cifrados es mayor que nunca.
Dado que una de las tendencias m�s notables en cuanto al malware para Android es que sus creadores han estado aplicando las t�cnicas de malware que resultaron exitosas en Windows, el surgimiento del ransomware para Android era algo l�gico y esperado. Como podemos ver en el gr�fico de tendencias, las detecciones de ransomware para Android est�n aumentando:
Debido a la creciente cantidad de consumidores que optan por el m�vil en lugar del PC, los datos que se almacenan en estos dispositivos son m�s valiosos, por lo que el ransomware para Android es un atractivo cada vez mayor para los atacantes.
Es importante que los usuarios de dispositivos Android est�n informados sobre las amenazas de ransomware y tomen medidas preventivas. Algunas de las acciones preventivas m�s importantes son: evitar descargar aplicaciones de sitios no oficiales ni fiables, tener instalado un antivirus para Android y tener una aplicaci�n de seguridad instalada que se mantenga siempre actualizada. Adem�s, es importante tener una copia de seguridad funcional de todos los datos importantes del dispositivo.
Por lo tanto, la opci�n m�s sensata es la prevenci�n mediante la adhesi�n a los principios b�sicos de seguridad, el uso de software de seguridad actualizado y la generaci�n de copias de seguridad de los datos (no s�lo en el propio dispositivo).
17/02/2016 Noticia Ransomware
Un nuevo tipo de ransomware se est� expandiendo por todo el mundo. Se trata del ransomware Locky, muy similar al conocido Dridex, un sofisticado malware dise�ado para robar datos bancarios. Las v�ctimas reciben un correo electr�nico que simula ser una factura y se infectan al descargar el archivo adjunto de Microsoft Word que contiene macros.
Microsoft suele desactivar los macros por defecto para proteger al usuario de posibles amenazas. Estas piezas de c�digo a�aden funciones y peque�as aplicaciones a los documentos de Office habituales. Por otro lado, los macros pueden contener software malicioso muy peligroso.
Si a pesar de la advertencia de seguridad de Microsoft el usuario decide habilitar los macros, el malware se descarga e infecta autom�ticamente el ordenador. Los especialistas de RANSOMWARDIAN sospechan que los autores de este ransomware est�n vinculados con Dridex debido a los estilos similares de distribuci�n, al parecido de los nombres de los archivos y a la ausencia de actividad de este malware particularmente agresivo coincidiendo con la aparici�n de Locky.
Una vez instalado, este ransomware Locky cifra los archivos del ordenador y exige un pago a quien quiera recuperar el control del equipo infectado.
Se sospecha que Locky est� ejecutando un ataque masivo porque se detectaron 400.000 sesiones que descargaron el mismo macro llamado Bartallex. La mayor�a de las v�ctimas proceden de Estados Unidos, Canad� y Australia, pero hay rastros de actividad en todo el planeta.
La �nica soluci�n es usar utilizar un software anti-ransomware como RANSOMWARDIAN, que protege los datos y los equipos inform�ticos de los ataques de todo tipo de ransomware.
16/02/2016 Noticia Ransomware
Hace tiempo que se preve�a que algo as� pod�a suceder: los ciberataques a infraestructuras cr�ticas y servicios b�sicos para los ciudadanos est�n en el punto de mira de los cibercriminales. Lo que est� sucediendo en un centro m�dico de Estados Unidos es una prueba de lo real que puede llegar a ser.
Los ordenadores de un hospital de Los �ngeles llevan m�s de una semana sin funcionar, despu�s de que un ataque de ransomware acabara con la red interna, cifrando la informaci�n de todos los archivos y paralizando el sistema inform�tico. El problema a�adido es, que adem�s de los ordenadores y el sistema inform�tico, todos los dispositivos m�dicos conectados est�n offline e inservibles. Debido a este incidente, algunos de los pacientes del centro m�dico Presbiteriano de Hollywood han sido trasladados a otros hospitales, seg�n recoge The Verge.
Los atacantes han solicitado un rescate de 3,6 millones de d�lares para descifrar el sistema y los archivos del hospital. Los empleados han tenido que volver temporalmente a las m�quinas de fax y los tel�fonos fijos para sacar el trabajo adelante.
El tipo de ransomware usado para el ataque no ha salido a la luz, ni c�mo se ha producido la infecci�n. Pero en estos momentos tratan de encontrar a los atacantes responsables.
�Se podr�a haber evitado este desastre? La respuesta es: S�, casi con un 99% de probabilidad. �C�mo? Pues tan sencillo como habiendo instalado una licencia de RANSOMWARDIAN en cada ordenador del hospital. De esta manera, los sistemas habr�an estado protegidos frente a los ataques ransomware y al cifrado de la informaci�n m�dica.
16/02/2016 Noticia Ransomware
Las alarmas han saltado cuando se han localizado algunos sitios web que en principio eran leg�timos pero se ha descubierto que estaban distribuyendo la amenaza. Otros sin embargo han sufrido un deface de su contenido en el que se anunciaba que el servidor Linux estaba afectado por el ransomware CTB-Locker y se ofrec�an algunas instrucciones para recuperar el acceso a los archivos.
La verdad es que hasta el momento los expertos en seguridad no sabemos a ciencia cierta qu� buscan los propietarios de esta amenaza infectando este tipo de equipos. En un principio se crey� que lo que pretend�an era que los usuarios particulares descargasen la amenaza al publicarla en sitios web que a priori poseen contenido leg�timo. Sin embargo, al observar que posteriormente en varios sitios se ha producido un deface y se ha llevado a cabo el cifrado parcial de parte de los archivos, ahora creen que en realidad lo que se busca es que los propietarios de los Servidores paguen por recuperar el acceso a los archivos.
Pero hay algunos aspectos que no terminan de convencernos. Sin ir m�s lejos, hay que decir que CTB-Locker no es una amenaza nueva y hasta este momento estaba centrada en la infecci�n de equipos con Sistema Operativo Windows. Sin embargo, los Servidores infectados poseen Debian o Fedora como distribuci�n, por lo que pensamos que la amenaza no podr�a ser la que en un principio se ha hecho creer mediante la documentaci�n que se visualiza tras el deface en algunas webs afectadas.
Hoy en d�a cada vez son m�s las amenazas que en un principio se crean para un sistema operativo y posteriormente sus propietarios las reconvierten para que sirvan para afectar a otros.
Pero aun hay algo mucho m�s extra�o. De ser un ransomware, ser�a probable que el archivo index.html o index.php hubiera sido renombrado, siendo imposible mostrar la p�gina web, algo que no es el caso.
15/02/2016 Noticia Ransomware
Se ha descubierto un nuevo ransomware llamado PadCrypt que ofrece por primera vez una funci�n de chat en tiempo real y un desinstalador para sus v�ctimas.
CryptoWall fue el primer ransomware en proporcionar soporte al cliente en sus sitios de pago, pero el uso del ransomware PadCrypt de un chat en tiempo real permite que las v�ctimas puedan interactuar con los desarrolladores del malware en tiempo real.
Una caracter�stica de este tipo podr�a aumentar potencialmente la cantidad de pagos, ya que la v�ctima puede recibir "apoyo" y guia en el confuso proceso de hacer un pago de estas caracter�sticas.
Con el lanzamiento de PadCrypt, la atenci�n al cliente es llevada a un nuevo nivel con los desarrolladores del malware ofreciendo chat en vivo. En la pantalla principal del ransomware PadCrypt hay un enlace llamado Live Chat (Chat "en Vivo" o Chat en tiempo real) como se muestra en la siguiente imagen:
Si un usuario hace clic en la opci�n de "Live Chat" o chat en vivo, se abrir� otra pantalla que permitir� a la v�ctima enviar un mensaje a los desarrolladores. Cuando los desarrolladores respondan, su respuesta se mostrar� en la misma pantalla.
Para aquellos que deseen eliminar la infecci�n, PadCrypt facilita tambi�n el descargar e instalar un programa de desinstalaci�n del ransomware.
Cuando se instala PadCrypt, tambi�n se descarga e instala un desinstalador. Una vez que se ejecute el programa de desinstalaci�n, eliminar� todas las notas de rescate y los archivos asociados con la infecci�n de PadCrypt. Por desgracia, todos los archivos cifrados permanecer�n igual.
PadCrypt se distribuye a trav�s de spam que contiene un enlace a un archivo zip, que a su vez contiene lo que parece ser un archivo PDF con un nombre como DPD_11394029384.pdf.scr.
Este archivo PDF, sin embargo, es en realidad un ejecutable renombrado para tener la .extension .scr que cuando se ejecuta la descarga de archivos y package.pdcr unistl.pdcr desde los servidores de comando y control ahora desactivado .
Los servidores C2 conocidos utilizados por este ransomware incluyen annaflowersweb.com , subzone3.2fh.co , y cloudnet.online.
El package.pdcr es el ejecutable PadCrypt y el uninstl.pdcr es el programa de desinstalaci�n. Ambos archivos se almacenar�n en la carpeta % AppData % \ PadCrypt.
Cuando se ejecuta el archivo principal PadCrypt.exe, explorar� las unidades locales de los archivos que coincidan con determinadas extensiones y cifrar� los mismos mediante cifrado AES. Todos los archivos que se cifren tendr� la extensi�n .ENC a�adida a su nombre. PadCrypt tambi�n grabar� el nombre de todo archivo cifrado en el \ lista.txt archivo% AppData % \ PadCrypt .
Cuando termine el cifrado de los datos, se crear� un archivo LEER IMPORTANTE me.txt en el Escritorio, que contiene instrucciones para el pago del rescate.
13/02/2016 Noticia Ransomware
Recientemente se ha dado a conocer por parte de investigadores que la plataforma de videollamadas m�s utilizada a nivel mundial Skype, padece una vulnerabilidad ante un software malicioso, en concreto un ransomware.
Se ha descubierto un ransomware en la aplicaci�n Skype en la que se han mostrado ciertos anuncios infectados cuya funci�n principal es instalarse en el ordenador de los usuarios sin tener ayuda por parte de un navegador.
De esta manera, aquellos usuarios que hacen hecho clic en dichos anuncios publicitarios, son redirigidos a un lugar de destino como Angler exploit kit, que f�cilmente descarga e instala autom�ticamente el susodicho ransomware.
Este ransomware infecta el equipo y cifra los archivos, obligando a los usuarios posteriormente a realizar el pago de una determinada cantidad para poder recuperarlos.
Sin embargo, este tipo de ataque no est� dirigido espec�ficamente a los usuarios de Skype, ya que los atacantes decidieron utilizar la plataforma de anuncios AppNexus, de modo que los anuncios maliciosos tambi�n se presentan en otros sitios web de compras y noticias como eBay, MSN y The Daily Mail.
Ante esta situaci�, se aconseja a los usuarios instalar un bloqueador de anuncios, un antivirus actualizado y RANSOMWARDIAN.
12/02/2016 Noticia Ransomware
Mediante el an�lisis de las transacciones en Bitcoins (moneda virtual irrastreable que solicitan para pagar el rescate de los datos cifrados por ransomware) asociados con tres muestras del ransomware CryptoWall por un periodo de tres meses, se estima que uno de los grupos de ciberdelincuentes que est� detr�s de una campa�a en particular de este ransomware, ha obtenido m�s de 330.000 d�lares con su actividad criminal .
El an�lisis incluy� s�lo tres muestras del ransomware CryptoWall 3.0 que hab�an llegado a las bandejas de correo electr�nico de algunos usuarios. Estos correos electr�nicos conten�an archivos ZIP que al descomprimirse inclu�an archivos maliciosos en PDF o HTML unidos a CryptoWall.
Una vez ejecutados, estos archivos pod�an cifrar los datos del usuario y solicitarle el pago del rescate a una direcci�n de Bitcoin.
Debido a que CryptoWall 3.0 genera una nota de rescate diferente para cada usuario en funci�n del nombre de host del equipo infectado, los investigadores enga�aron a las muestras de ransomware para hacerles mostrar todas sus direcciones asociadas de Bitcoin, cambiando constantemente el nombre de host del equipo infectado.
Esto permiti� crear un mapa de las direcciones de Bitcoin donde las v�ctimas estaban enviando el pago de sus rescates, informaci�n que se utiliz� para estimar la cantidad de fondos que el grupo criminal hab�a recibido de sus fechor�as.
Todas las cuentas de Bitcoin del grupo estaban llenas de m�ltiples transacciones con las que los delincuentes mov�an el dinero obtenido. Debido a que el ransomware estaba pidiendo entre 500 y 700 d�lares (entre 2.83 y 3.11 Bitcoins) por el rescate de cada usuario, los investigadores fueron capaces de determinar cu�les de las transacciones de Bitcoin entrantes eran en concepto de pago de rescates reales.
Haciendo uso de este m�todo para analizar las transacciones asociadas con 140 carteras de Bitcoin, los investigadores descubrieron que 670 v�ctimas pagaron el rescate de CryptoWall en tan s�lo 3 meses, por un valor total de 1.217 Bitcoins (337.607 d�lares).
Esta suma s�lo cubr�a las transacciones realizadas durante los meses de mayo, junio y julio de 2015 y si extrapolamos esta cifra para todo el a�o, el grupo criminal habr�a obtenido alrededor de 1,3 millones de d�lares s�lo con los pagos de los rescates de ransomware.
Probablemente la cantidad total sea incluso mayor, sobre todo despu�s de que el FBI "impuls� el negocio"" de los delincuentes del ransomware tras reconocer p�blicamente que ha estado aconsejando a empresas y particulares pagar el rescate en caso de infecciones severas de criptoransomware.
Este consejo, aunque realmente refuerza este "negocio", resulta en la mayor�a de ocasiones la �nica opci�n para los usuarios, ya que, una vez infectados, no es posible recuperar la informaci�n por otros medios.
Como desde hace tiempo venimos diciendo, la �nica soluci�n est� en la prevenci�n, poniendo medios para protegerse ANTES de ser atacados por el ransomware, instalando una licencia de RANSOMWARDIAN en cada equipo inform�tico.
11/02/2016 Noticia Ransomware
Ha surgido una nueva variante de criptoransomware llamado UmbreCrypt. Esta familia de ransomware cifra los datos de su v�ctima con cifrado AES y despu�s env�a v�a e-mail las instrucciones de pago. Actualmente no existe manera de descifrar estos archivos por otros medios.
Numerosas v�ctimas han informado al equipo de RANSOMWARDIAN de que tienen la impresi�n de que el ransomware UmbreCrypt les fue instalado manualmente hackeando servicios de Terminal Server o escritorio remoto. Si usted ha sido infectado con este ransomware, es aconsejable que compruebe sus registros de eventos en Windows de los intentos de acceso fallidos, para intentar determinar qu� cuenta de usuario fue comprometida.
N�tese que algunas variantes previas de este ransomware como por ejemplo HydraCrypt, eran distribuidas v�a kits de exploits, por lo que no existe hasta el momento una absoluta certeza de que en el caso de UmbreCrypt el m�todo de infecci�n sea uno u otro.
Una vez instalado, UmbreCrypt escanea las unidades de disco C, D, E, F, G y H en el ordenador para localizar archivos con extensiones concretas. Si detecta una de sus extensiones objetivo cifra los archivos utilizando cifrado AES y a�adiendo la extensi�n umbrecrypt_ID_[id_v�ctima] a los archivos cifrados. Por ejemplo, el archivo GatoBlanco.jpg se convertir�a en GatoBlanco.jpg.umbrecrypt_ID_alfonso77.
Las extensiones de archivos que busca UmbreCrypt para cifrar los archivos son las siguientes:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .unrec, .scan, .sum, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .m3u, .flv, .js, .css, .rb, .png, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .ppt, .xlk, , .xls, .wps, .doc, .odb, .odc, .odm, .odp, .odt, .dx, .mrw, .nef, .tiff, .bd, .tar.gz, .mkv, .bmp, .dot, .xml, .pps, .dat, .ods, .qba, .qbw, .ini.$$$, .$db, .001, .002, .003, .113, .73b, .__a, .__b, .ab, .aba, .abbu, .abf, .abk, .acp, .acr, .adi, .aea,.afi, .arc, , .as4, .asd, .ashbak, .asv, .asvx, .ate, .ati, .bac, .backup, .backupdb, .bak2, .bak3, .bakx, .bak~, .bbb, .bbz, .bck, .bckp, .bcm, .bdb, .bff, .bif, .bifx, .bk1, .bkc, .bkup, .bkz, .blend1, .blend2, .bm3, .bmk, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .caa, .cbk, .cbs, .cbu, .ck9, .cmf, .crds, .csd, .csm, .da0, .dash, .dbk, .dim, .diy, .dna, .dov, .dpb, .dsb, .fbc, .fbf, .fbk, .fbu, .fbw, .fh , .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .ghs, .ibk, .icbu, .icf, .inprogress, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbf, .mbk, .mbw, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nda, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .oyx, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pqb, .pqb-backup, .prv, .psa, .ptb, .pvc, .pvhd, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sav, .sbb, .sbs, .sbu, .sdc, .sim, .skb, .sme, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .sps, .sqb, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tibkp, .tig, .tis, .tlg, .tmp, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vbox-prev, .vpcbackup, .vrb, .wbb, .wbcat, .wbk, .win, .wjf, .wpb, .wspak, .xbk, .xlk, .yrcbck, .~cw
El ransomware UmbreCrypt tambi�n utiliza una lista blanca de directorios cuyos archivos no ser�n cifrados. Las carpetas de la lista blanca son los siguientes:
Windows, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), WINDOWS, ProgramData
Cuando el programa finaliza de cifrar los datos, muestra una pantalla de rescate con informaci�n acerca de lo que les ha ocurrido a los ficheros de la v�ctima. Esta pantalla tambi�n contiene las instrucciones que indican a la v�ctima que debe enviar un e-mail a los desarrolladores del ransomware para recibir las instrucciones de pago.
09/02/2016 Noticia Ransomware
DMA Locker es un nuevo ransomware que cifra la informaci�n utilizand� cifrado AES y solicita 4 bitcoins para obtener la clave de descifrado. Las versiones anteriores eran descifrables debido a un fallo en el programa, pero las versiones m�s recientes han solucionado esta incidencia. DMA Locker incluye algunas caracter�sticas interesantes que incluyen el cifrado de redes sin mapear y que se centra en archivos de una carpeta concreta y/o que tengan una extensi�n espec�fica.
Una caracter�stica de DMA Locker es que tiene la capacidad de enumerar y cifrar datos de redes no asignadas (unmapped). Esta no es una caracter�stica que veamos habitualmente en los ransomware actuales aunque no sea una caracter�stica dif�cil de implementar. Se prev� que se convertir� en un est�ndar para el ransomware en el futuro, por lo que los administradores de sistemas deber�n asegurarse de que todos los recursos compartidos de red est�n ejecutando con el m�nimo de permisos de archivo que funcionen para su entorno.
A diferencia de la mayor�a de ransomware, cuando DMA Locker cifra los datos no se dirige a extensiones concretas, sino que utiliza una lista blanca de carpetas y extensiones que no cifrar�. Por lo tanto, este ransomware cifrar� casi todos los archivos que no sean del sistema ni ejecutables que encuentre en el sistema.
DMA Locker utiliza algoritmo de cifrado AES cuando cifra los archivos, pero no a�ade una extensi�n personalizada a los archivos cifrados. En su lugar, DMA Locker a�ade un identificador en la cabecera de cada archivo cifrado, por lo que DMA Locker podr� identifica un archivo como cifrado.
Finalmente, cuando DMA Locker ha finalizado de cifrar los datos, mostrar� la pantalla de bloqueo con las instrucciones sobre c�mo pagar el rescate y descifrar los archivos. Esta informaci�n se mostrar� tambi�n cada vez que se acceda al ordenador.
Tanto con el ransomware DMA Locker como con otros malwares, la soluci�n siempre es prevenir y contar con soluciones de protecci�n como RANSOMWARDIAN.
08/02/2016 Noticia Ransomware
Tal y como hemos informado en m�ltiples noticias y a lo largo de nuestra web, el ransomware es una de las principales ciberamenazas de la actualidad y uno de los mayores temores de muchos usuarios ya que, a diferencia de otros virus, no se dedica a robar datos personales o informaci�n bancaria, sino que secuestra los archivos inform�ticos para, posteriormente, hacer chantaje al usuario.
El proceso es el siguiente: el troyano informa al usuario de que sus archivos han sido cifrados. Si la v�ctima desea recuperar sus archivos tendr� que pagar un rescate, el cual suele ser de cientos o miles de euros, normalmente pagado en bitcoins. Muchas v�ctimas de ransomware no tienen un gran conocimiento o una gran experiencia en tecnolog�a, as� que el inconveniente es doble ya que la mayor�a tiene que buscar qu� es un bitcoin y d�nde se pueden conseguir.
Una vez que el ransomware se filtra en el sistema, es capaz de cifrar archivos, incluyendo documentos valiosos, v�deos y fotos. El proceso completo se ejecuta en un segundo plano dentro del ordenador y, por lo tanto, la v�ctima no se da cuenta del problema hasta que es demasiado tarde. Lo que hace del ransomware una estafa peculiar es que los archivos cifrados retenidos, a�n siguen almacenados en el ordenador.
Sin embargo, existe una serie de recomendaciones y consejos para evitar ser infectados por ransomware, si desgraciadamente somos v�ctimas de ello, minimizar sus consecuencias.
05/02/2016 Noticia Ransomware
Un peligroso ransomware se ha instalado en multitud de sitios creados en Wordpress que secuestran el ordenador de los visitantes pidi�ndoles una cantidad econ�mica para liberar sus archivos.
Un n�mero indeterminado de sitios creados con Wordpress han sido infectados por un ransomware, y lo peor de todo es que no se sabe c�mo han logrado infectar a tantos sitios.
Seg�n parece, aquellos usuarios que visitan algunas webs basadas en el popular WordPress y que tienen versiones obsoletas de Adoble Flash Player, Adobe Reader, Microsoft Silverlight o Internet Explorer, pueden verse infectados por este ransomware del tipo Teslacrypt, un tipo de malware que cifra los archivos del ordenador en un servidor remoto para pedirle un dinero por su rescate.
Este ransomware, para evitar ser descubierto, s�lo ejecuta el c�digo para aquellos visitantes que acceden por primera vez al sitio web.
Para enmascarar a�n m�s el ataque, el c�digo redirige a los usuarios a otros sitios puente hasta que llegan al �ltimo que contiene la instalaci�n del ransomware, en una forma de despistar a los antivirus.
Curiosamente muchos de estos sitios web puente ya est�n en la lista negra de Google y no aparecen en su buscador.
Para que el usuario pueda paliar el ataque, es preciso que se tengan las �ltimas actualizaciones de programas que ejecute el ordenador o usar navegadores 64 bits como la �ltima versi�n de Google Chrome.
Si adem�s quiere estar realmente protegido de la infecci�n de este ransomware y evitar que sus datos sean cifrados, debe instalar en su ordenador el programa RANSOMWARDIAN, que evita que estos ransomwares act�en en su equipo inform�tico.
Desgraciadamente este ransomware es capaz de infectar a todos los dominios que est�n bajo una misma cuenta de hosting, con lo que su propagaci�n es muy r�pida.
03/02/2016 Noticia Ransomware
Ha sido detectado un nuevo tipo de ransomware llamado 7ev3n que secuestra el ordenador de las v�ctimas y exige el pago de 4.600 euros para desbloquear el equipo y devolver el control al usuario.
En este caso la amenaza es incluso m�s seria de lo habitual. Por un lado, 7ev3n cifra los archivos para que se vuelva imposible acceder a ellos. Para desbloquearlos deberemos pagar la sorprendente cifra de 13 bitcoins. El bitcoin se trata de una moneda muy dif�cil de rastrear y 13 bitcoins equivalen a casi 4.600 euros, una cantidad verdaderamente elevada.
Y es que 7ev3n secuestra nuestros datos, pero tambi�n bloquea Windows, inutiliz�ndolo. Se trata de un ransomware que no deja ning�n aspecto al azar.
Este ransomware centra sus esfuerzos en anular el teclado y una gran cantidad de atajos para evitar que el usuario tenga escapatoria. F1, F10, F3, F4, Enter, Escape, Alt izquierdo, Ctrl izquierdo, Alt derecho, Ctrl derecho, Shift derecho, Windows izquierdo, Windows derecho, Bloq Num o Bloq May�s son algunas de las teclas que sufren los efectos de esta amenaza. Sin estas teclas no se puede eliminar la amenaza ni tampoco detener su ejecuci�n.
Cuando un equipo est� infectado, el ransomware 7ev3n explorar� todas las letras de las unidades de disco y buscar� archivos con determinadas extensiones y cuando encuentre una coincidencia les cambiar� el nombre por secuencias numeradas y les a�adir� la extensi�n .R5A.
Por ejemplo, si una carpeta contiene 25 archivos de datos, el ransomware cifrar� y cambiar� el nombre de todos los archivos a 1.R5A , 2.R5A , 3.R5A ... 25.R5A
Seg�n han podido saber nuestros expertos en seguridad, los tipos de archivos que cifra actualmente el ransomware 7ev3n son: DBF, arw, txt, doc, docm, docx, zip, rar, xlsx, xlsb, xlsm, pdf, jpg, JPE, JPEG, sql, mdf, accdb, MDB, ODB, ODM, ODP y ODS.
25/01/2016 Noticia Ransomware
Hace unos 6 meses un investigador de seguridad turco publicaba dos ransomware de c�digo abierto con fines educativos, tanto para los usuarios como para las empresas de seguridad con el fin de que se pudiera conocer m�s informaci�n sobre c�mo funciona este software y ense�ar a los motores antivirus a identificar mejor estas amenazas. Aunque estos dos ransomware han sido una gran aportaci�n a la comunidad, tambi�n lo han sido para los piratas inform�ticos, quienes no tardaron en sacar provecho de ello creando una variante del mismo, llamada RANSOM_CRYPTEAR.B basado en su c�digo.
Ahora, 6 meses m�s tarde de la liberaci�n de este ransomware educativo, un grupo de piratas inform�ticos ha aprovechado una vez m�s uno de estos software de c�digo abierto para crear una nueva variante, llamada Magic, con la que infectar a usuarios reales con fines maliciosos.
Por el momento no se sabe mucho sobre este ransomware Magic, salvo que a�ade la extensi�n .magic a los ficheros cifrados (de ah� su nombre).
El algoritmo de cifrado que utiliza el malware es AES, igual que en el proyecto libre original y como hacen otros ransomware diferentes. Las claves de cifrado se generan en el ordenador de la v�ctima y se env�an a un servidor de control remoto para, posteriormente, eliminarlas de forma segura del ordenador de la v�ctima para que no pueda recuperarlas salvo que se pague el correspondiente rescate.
Hasta aqu�, este malware de cifrado de datos funciona como cualquier otro, sin embargo, analizando el servidor de control, este pirata inform�tico (igual que muchos otros) ha utilizado un hosting gratuito para almacenar el servidor y todas las claves privadas de las v�ctimas. Estos servidores de almacenamiento son muy estrictos con las normas, y alg�n usuario ha reportado la cuenta del pirata inform�tico que, al incumplir dichas normas del hosting, los responsables han borrado la cuenta y todos los archivos incluidos en ella, entre ellos, el servidor de control y todas las claves privadas de las v�ctimas.
Como decimos, se han destruido todas las claves privadas, por lo que ni siquiera el autor podr� recuperar los archivos. Estos archivos se han perdido para siempre ya que, seg�n afirma el investigador de seguridad, no existe puerta trasera en el algoritmo.
15/01/2016 Noticia Ransomware
Como coment�bamos en una noticia del d�a 14/01/2016, se hab�a descubierto un nuevo ransomware que a diferencia de los dem�s no guardaba la clave de cifrado y por lo tanto, no exist�a ninguna posibilidad de recuperar los archivos cifrados. Este ransomware se hab�a creado bas�ndose en Hidden Tears, un ransomware que supuestamente se distribuy� con "fines educativos y de libre acceso y modificaci�n".
Pues bien, hoy venimos con la noticia de un nuevo ransomware que se ha creado bas�ndose tambi�n en Hidden Tears. Se trata del ransomware Shoddy, que como novedad, no solamente cifra los archivos, sino que posteriormente LOS DESTRUYE.
Una vez que el ransomware Shoddy se ha instalado en el equipo, lleva a cabo el cifrado de los archivos que se encuentran en el volumen y se desconoce el motivo, pero durante este proceso se produce la p�rdida de la clave que los descifra, suponiendo as� que los datos quedan inaccesibles de por vida. Aunque pueda parecer algo nuevo, no es la primera vez que sucede que por un fallo de programaci�n los archivos quedan inaccesibles tras la p�rdida de la clave de cifrado.
Durante el proceso de cifrado de los archivos, se almacena un dato como si fuese la clave pero este en realidad no lo es, provocando la p�rdida de �sta y lo que es m�s importante, la imposibilidad para recuperar el acceso a los archivos. Por este motivo, resulta de vital importancia realizar copias de seguridad peri�dicas o puntos de restauraci�n, permitiendo revertir los cambios producidos por el ransomware y poder recuperar los archivos afectados y tener instalado un anti-ransomware como RANSOMWARDIAN, que protege los equipos inform�ticos de los ataques de los ransomware y evita que cifren la informaci�n.
14/01/2016 Noticia Ransomware
Es muy probable que en alguna ocasi�n nos hayamos visto obligados a enviar a una persona o apuntar para utilizarla m�s adelante una direcci�n URL muy larga. Estas direcciones, generalmente utilizadas para redirigir a contenidos concretos, son una molestia a la hora de utilizarlas y muy complicadas de recordar, por lo que existen una serie de �conversores� o acortadores de URL que nos van a permitir convertir una URL larga y completa en una mucho m�s corta, sencilla y f�cil tanto de enviar como de apuntar o recordar.
Los links con url acortadas son muy utilizadas en redes sociales tipo Twitter, donde existe una limitaci�n de caracteres que se pueden utilizar en cada mensaje.
Al igual que ocurre siempre, cuando una herramienta o plataforma se hace �til, los piratas inform�ticos siempre encuentran una nueva forma de aprovecharse de ella y es lo que ha ocurrido con estas plataformas. Los expertos de seguridad de RANSOMWARDIAN advierten de una serie de nuevas amenazas que est�n ganando, por desgracia, cada vez m�s protagonismo. Seg�n la empresa de seguridad, los piratas inform�ticos est�n empezando a utilizar direcciones acortadas para ocultar ransomware en ellas. De esta manera, cuando los usuarios acceden a ellas pensando, por ejemplo, que est�n accediendo a una p�gina web en realidad est�n ejecutando en el sistema c�digo JavaScript que est� descargando, instalando y ejecutando malware en el equipo.
Una nueva campa�a est� haciendo uso de esta t�cnica para distribuir entre los usuarios una nueva variante de Cryptowall, uno de los ransomware m�s peligrosos, que, tras su ejecuci�n, empieza a cifrar los datos de los usuarios con un algoritmo de 2048 bits pr�cticamente irrompible, y pide el pago de un �rescate� a cambio de las claves.
Por todo lo anterior, y por otros muchos problemas con los que nos podemos encontrar, es recomendable que siempre que vayamos a visitar una p�gina web oculta en una de estas direcciones URL comprobemos muy bien qu� direcci�n real se esconde tras ella.
Adem�s de tener instalada una licencia de RANSOMWARDIAN en nuestro ordenador para evitar que el ransomware pueda afectarnos, existen plataformas que nos ayudan a comprobar estas direcciones. Por ejemplo, una de las m�s conocidas y recomendadas es CheckShortURL. Esta p�gina web es compatible, entre otros, con los siguientes servicios:
Simplemente debemos acceder a esta p�gina web y pegar en el cuadro correspondiente la URL acortada. Autom�ticamente la plataforma nos devolver� el servidor exacto al que corresponde y adem�s har� uso de ciertas plataformas como WOT y SUCURI para comprobar si se trata de una web fiable o puede suponer una amenaza para nosotros, por ejemplo, ocultando ransomware.
14/01/2016 Noticia Ransomware
Recientemente se ha descubierto el Ransom_Cryptear.B, un ransomware que secuestra todos los archivos del ordenador, pero la novedad es que nunca los devuelve.
A diferencia de otros ransomware donde se secuestran los archivos de la v�ctima pero se guarda la clave de descifrado en un Servidor remoto, este nuevo Ransom_Cryptear.B no guarda la clave de encriptaci�n, con lo que una vez que el usuario es infectado pierde los archivos definitivamente.
El pasado verano se distribuy� en internet el llamado ransomware Hidden Tears, un ransomware que se diferenciaba de los dem�s porque hab�a nacido "con fines educativos y de libre acceso y modificaci�n". �C�mo puede entenderse que un ransomware sea para uso educativo? En principio este ransomware inclu�a un fallo intencionado en su c�digo para que los usuarios experimentaran en sus ordenadores pero pudieran despu�s recuperar sus archivos sin problemas.
Lamentablemente los ciberdelincuentes han creado una variante de este ransomware educativo para fines oscuros y en su lugar se ha transformado en Ransom_Cryptear.B, un ransomware que encripta los archivos del ordenador pero que pierde su clave para recuperarlos, haciendo que el usuario infectado nunca pueda recuperar sus datos.
Este ransomware se ha visto por primera vez en un sitio web de Paraguay donde ya ha conseguido infectar a decenas de personas. Cuando un usuario accede a dicha p�gina, es redirigido a una p�gina web falsa de Adoble Flash donde se le insta que se instale una nueva actualizaci�n de Flash, instal�ndose en su lugar el mencionado c�digo malicioso del ransomware.
Hoy d�a el ransomware est� presente en multitud de p�ginas web de todo el mundo, sobre todo en aquellas con bajos niveles de seguridad y son, posiblemente, las infecciones electr�nicas m�s peligrosas. La �nica forma de evitarlas es asegurarnos de tener instalado RANSOMWARDIAN para evitar que los ransomware puedan causarnos da�os y hacernos perder la informaci�n y navegar por p�ginas webs convenientemente actualizadas, evitando descargarnos actualizaciones de p�ginas sospechosas.
11/01/2016 Noticia Ransomware
Hace un a�o fue detectado el primer ataque ransomware contra dispositivos con Android y, a fecha de hoy, un a�o despu�s, 1 de cada 6 ataques de ransomware van dirigidos a Android, concretamente el 17% de ataques ransomware.
En general, la cantidad de personas afectadas por ransomware entre los pasados meses de enero y diciembre se elev� a 180.000. Esto es un 48,3 % m�s que el n�mero de atacados del que se hablaba en 2014.
Se prev� que durante este 2016 las cifras de v�ctimas de ransomware vayan en aumento, por lo que aconsejamos instalar RansomWardian en todos los equipos inform�ticos con informaci�n relevante, para protegerse y evitar verse afectados por el da�i�o ransomware.
05/01/2016 Noticia Ransomware
Comenzamos el a�o 2016 con un nuevo ransomware llamado Ransom32 que tiene capacidad de secuestrar equipos con sistema operativo Windows, Mac y Linux.
A diferencia de la mayor�a de programas ransomware anteriores que estaban dise�ados para cifrar los datos y solicitar un rescate en equipos con sistema operativo Windows por ser el mayoritariamente utilizado por los usuarios, el nuevo Ransom32 resulta m�s peligroso en el sentido de que tiene capacidad para infectar equipos tanto con Windows como con Linux y OsX (sistema operativo de Mac, Apple).
Este nuevo ransomware ha sido escrito en JavaScript y utiliza el entorno de ejecuci�n Node.js para llegar a tomar el control de los sistemas infectados y empezar a cifrar los datos m�s importantes de los usuarios.
Ransom32 es un ransomware muy similar a Cryptolocker. Cuando infecta a los usuarios muestra un mensaje buscando el pago del rescate en Bitcoins, igual que cualquier otro ransomware, pero su principal caracter�stica es que afecta por igual tanto a Windows como a Mac OS X y Linux.
�ste ransomware escrito en JavaScript es mucho m�s complicado de detectar que el ransomware binario, de modo que a d�a de hoy pasa totalmente inadvertido para los principales antivirus del mercado.
Seg�n los an�lisis realizados por el equipo de ingenieros de RansomWardian, Ransom32 utiliza un cifrado AES de 128 bits que adem�s utiliza una nueva clave de cifrado para cada archivo, lo que complica notablemente el descifrado no autorizado por el propio delincuente.
Como siempre, la mejor forma de protegerse de Ransom32 es la PREVENCI�N: tanto mediante copias de seguridad, como especialmente utilizando medios que protejan nuestros equipos evitando que accedan y cifren nuestros datos. Ransomwardian es una avanzada aplicaci�n que protege del ataque de Ransom32 y cualquier otro ransomware.
21/12/2015 Noticia Ransomware
Se prev� que en 2016 se abrir�n nuevos �mbitos de acci�n para los hackers. As� lo augura WatchGuard, cuyo listado de predicciones de seguridad para el nuevo a�o pone de relieve c�mo las nuevas tendencias y amenazas convivir�n con t�cnicas tradicionales para que los cibercriminales pueden lograr sus objetivos.
Como explica Corey Nachreiner, director de tecnolog�a de WatchGuard, "el panorama de las amenazas de seguridad est� en constante cambio, ya que los ciberdelincuentes emplean una mezcla de m�todos antiguos y nuevos para ampliar su alcance, aprovecharse de los usuarios y conseguir acceder a datos valiosos.
Para contar con una mejor defensa, recomendamos seguir las mejores pr�cticas de seguridad, formar a los empleados en materia de amenazas y t�cnicas de ingenier�a social dirigida, e implementar las �ltimas tecnolog�as de seguridad como Ransomwardian.
10 predicciones de seguridad para 2016:
18/12/2015 Noticia Ransomware
La distribuci�n de TeslaCrypt se encuentra en pleno apogeo y desde hace varios d�as se est� distribuyendo este malware haciendo uso de una campa�a muy agresiva de correos spam. Sin embargo, ahora hemos descubierto que existe un virus conocido con el nombre de Nemucod que est� distribuyendo este ransomware cuando infecta el equipo Windows.
La forma de infectar a las v�ctimas ha cambiado y ahora no se distribuye el ransomware de forma directa, recurriendo a otros programas maliciosos que ser�n los encargados de llevar a cabo la instalaci�n del mismo y comprobar la seguridad existente en el sistema.
Nemucod se distribuye entre los usuarios haciendo uso de correos electr�nicos spam con tem�tica muy variada, pero con una clara intenci�n: llamar la atenci�n de los usuarios y forzar que estos realicen la descarga del ejecutable adjuntado.
Una vez instalado en el sistema utiliza funciones JavaScript para realizar la descarga de otro ejecutable que en esta ocasi�n s� ser� el de TeslaCrypt.
El desarrollo de este tipo de software es cada vez m�s frecuente y ofrece a los ciberdelincuentes la posibilidad de instalar m�s malware en los equipos infectados deforma totalmente remota. En esta ocasi�n, y al menos de momento, este solo facilita la llegada de uno de los ransomware m�s utilizados durante el �ltimo a�o, aunque no ser�a para nada descabellado pensar que los ciberdelincuentes lo utilizar�n para instalar m�s virus inform�ticos en el equipo afectado.
Como siempre ante esta nueva campa�a de ransomware prenavide�o, la soluci�n estriba en la PREVENCI�N. Adquirir una licencia de RANSOMWARDIAN para su ordenador con Windows le protege de ser atacado por TeslaCrypt y otros virus que cifran la informaci�n.
14/12/2015 Noticia Ransomware
El 'ransomware', programas inform�ticos que 'secuestran' tu ordenador y datos y piden un rescate para liberarlos, es el �ltimo gran problema de seguridad en internet. �C�mo evitarlo?
Cifran toda la informaci�n que encuentran en tu ordenador y te piden 500 euros a cambio de descifrarla. Es la �ltima generaci�n de virus, los llamados ransomware (programas que piden un rescate), una aut�ntica peste negra que no distingue entre empresas, adolescentes, ricos, pobres, Windows, Mac, Linux o Android y que empieza a adentrarse en el internet de las cosas. Este a�o ha duplicado su volumen y las predicciones auguran que en 2016 ser� peor.
El n�mero de infecciones en las empresas se ha doblado; este importante aumento en entornos corporativos se explica porque se pueden pedir rescates m�s cuantiosos a una organizaci�n que a un individual y adem�s las empresas son m�s vulnerables porque necesitan la informaci�n que ha sido cifrada para la continuidad de su negocio, por lo que hay m�s posibilidades de que paguen el rescate.
Inna Simone fue una de las primeras v�ctimas del temible virus Cryptowall, el rey de los ransomware. Como en una saga n�rdica, Cryptowall es hijo de Cryptolocker, que a su vez es hijo de CryptoDefense. La historia de Inna se hizo famosa porque su hija, periodista, la escribi� en The New York Times. El relato de Simone, como otras v�ctimas de ransomware, pone los pelos de punta porque no es s�lo el susto may�sculo de ver c�mo tu ordenador ha quedado inservible, sino que adem�s no tienes idea de qu� son Bitcoins ni d�nde conseguirlos.
El Virus de la Polic�a
Entre abril de 2014 y junio de 2015 el FBI recibi� 992 denuncias referidas a Cryptowall. Es un n�mero bajo respecto a las infecciones reales porque la mayor�a de v�ctimas no lo denuncian, asegura el Jefe de Secci�n de Seguridad L�gica de la Unidad de Delitos Inform�ticos del Cuerpo Nacional de Polic�a: "No les importa demasiado perder unas fotos o algo de informaci�n, o bien pagan el rescate y no lo denuncian". En realidad, dice, hay "miles de incidencias".
De todas formas, la polic�a no puede hacer mucho contra estos delincuentes porque "como no est�n en nuestro pa�s, como mucho podemos recopilar inteligencia o hacer campa�as de prevenci�n, pero su persecuci�n debe hacerse a nivel internacional".
El ransomware conocido como "virus de la polic�a" fue de los primeros. No cifraba el contenido del ordenador sino que lo bloqueaba y se hac�a pasar por una herramienta de la polic�a para que las v�ctimas pagasen una "multa" por haber visitado sitios de pirater�a o pornogr�ficos. "Las primeras muestras en Espa�a se observaron en junio de 2011; los delincuentes desarrollaron variantes cada vez m�s sofisticadas, suplantando a otros cuerpos como la Guardia Civil, Europol o incluso usando la imagen del Rey Juan Carlos I y Felipe VI".
El virus entraba en el ordenador de la v�ctima v�a mails maliciosos, agujeros de seguridad en programas o mediante anuncios maliciosos en sitios web que infectaban a los navegadores desactualizados. Esta �ltima v�a estuvo latente durante dos a�os, sin que nadie lo sospechase.
El Virus de la Polic�a cosech� un mont�n de v�ctimas en Espa�a, hubo 1.200 denuncias y m�s de 800.000 personas que pidieron informaci�n a la Oficina de Seguridad del Internauta, usualmente por haber sido infectadas. La polic�a se puso a investigar, en coordinaci�n con 30 pa�ses, y descubrieron que el autor del virus, ahora en prisi�n a la espera de juicio, viv�a en Espa�a.
Descubrieron tambi�n que estaban ante una banda criminal cuya parte econ�mica, encargada del cobro y blanqueo del dinero, con un volumen de m�s de un mill�n de euros anuales, tambi�n viv�a en Espa�a, concretamente en M�laga, donde se realizaron diez detenciones de rusos y ucranianos, m�s otro grupo, de dos ucranianos, en Madrid.
Dos a�os despu�s, con un aumento fulgurante del ransomware que se ha hecho cada vez m�s peligroso y con rescates m�s caros. "No tenemos estad�sticas, pero sigue en auge y seguir�, porque es un negocio retable para los atacantes". Efectivamente, frente a otros delitos, como los troyanos bancarios, que requieren una infraestructura de intermediarios para extraer el dinero, blanquearlo y hacerlo llegar a los delincuentes, el ransomware "usa un canal de pago m�s directo entre los afectados y el atacante".
Adem�s, las v�ctimas del ransomware no tienen un hermano mayor que las defienda: "Las entidades financieras emplean recursos para luchar contra los troyanos bancarios, mientras que el ransomware afecta a usuarios de todo tipo y no cuenta con una respuesta tan coordinada por parte de un sector como el de la banca, que podr�a emplear recursos adicionales en su prevenci�n".
Los ransomware campan a sus anchas y, sin depredadores naturales, evolucionan r�pidamente hacia nuevas y mejores formas de asustar a la gente para que pague. Recientemente se conoc�a la existencia de un nuevo espec�men, Chimera, que no s�lo cifra los datos, tambi�n amenaza con hacer p�blicas im�genes y otros archivos comprometedores hallados en el ordenador.
Mientras, el Tyrannosaurus rex de los ransomware, CryptoWall, va por la versi�n 4 con un cifrado indestructible y estrategias para evitar que la v�ctima pueda restaurar la informaci�n cifrada con una copia de seguridad, ha aumentado tambi�n el precio del rescate, que ahora son 1,84 Bitcoins, unos 700 euros. Su predecesor, Cryptowall 3.0, habr�a conseguido hasta 325 millones de d�lares en rescates y se estima que la versi�n 4 conseguir� muchos m�s.
Cuando los usuarios ya han sido educados en no abrir adjuntos sospechosos en el correo, el ransomware se dirige cada vez m�s a la web, asaltando servicios que nutren de anuncios a los sitios m�s visitados, o directamente asaltando estos sitios para que infecten a quienes los visitan con navegadores desactualizados. No es raro que webs de medios de comunicaci�n, con millones de visitantes mensuales, pasen meses infectando a sus visitantes sin darse cuenta, hasta que alguna v�ctima correlaciona el haberlas visitado con el ransomware.
S�lo en los �ltimos meses han tenido este problema sitios tan populares como Yahoo!, The Economist, Daily Mail, Reader's Digest, The Independent, The Guardian, eBay, Disney, Facebook o Weather.com.
En Espa�a hasta el momento las oleadas de ransomware nos han llegado en adjuntos a mensajes de correo que se han disfrazado de faxes muy importantes, de facturas del agua y, en diciembre del a�o pasado, los criminales dieron con el fil�n de los mensajes que simulaban proceder de Correos.
No hay muchas herramientas para luchar contra esta peste, que muta continuamente enga�ando a los antivirus. No hay mucho m�s que se pueda hacer que prevenir, contra esta plaga que se atreve con todo. Una de las mejores opciones hoy en d�a es RANSOMWARDIAN, que evita ser infectado por los ransomware.
El descaro de los delincuentes es tan grande que infectaron recientemente una p�gina de "The Guardian" donde hab�a una art�culo titulado: "�Est� el cibercrimen fuera de control?". Han infectado incluso comisar�as de polic�a, que en algunos casos han acabado, impotentes, pagando el rescate.
Todos los expertos en seguridad recomiendan de forma un�nime no pagar el rescate. Porque alienta el delito y porque no siempre tiene un final feliz: los datos pueden haberse da�ado y ser inservibles incluso descifrados, o bien los delincuentes pueden mandar programas con m�s virus, o simplemente podemos pagar el rescate y no obtener respuesta.
El inter�s en ampliar mercado azuza la galopante evoluci�n del ransomware. Aparecen nuevas muestras que atacan a los usuarios de Mac/OSX, siendo Mabouia la amenaza m�s seria. Otro amplio frente son los servidores web Linux, especialmente los dedicados al comercio electr�nico. Un nuevo ransomware dirigido a este segmento es el m�s prometedor y con el rescate m�s abultado: 999 d�lares.
Y no acaba aqu� la cosa porque ya existe ransomware para smartphones Android, televisiones inteligentes, smartwatches y, seg�n un estudio de Forrester, el a�o que viene veremos ransomware en dispositivos m�dicos.
13/12/2015 Noticia Ransomware
Las v�ctimas m�s afectadas se encuentran en Reino Unido, Francia, Italia y Espa�a con una campa�a de phishing altamente eficaz.
El ransomware de juegos TeslaCrypt se detect� en marzo y act�a amenazando a los usuarios con no poder progresar en la partida si no abonan entre 500 y 1.000 d�lares en bitcoins.
Los delincuentes de este malware se han embolsado hasta s�lo de febrero a abril y unos 3 millones de d�lares en los �ltimos 9 meses de 2014.
El grupo detr�s de TeslaCrypt se ha centrado hasta ahora en los usuarios individuales, pero en esta campa�a los objetivos han sido principalmente empresas del norte de Europa, diversificando su cartera de infecci�n, de acuerdo con los investigadores de seguridad que han detectado las amenazas.
Solo 3 de 55 productos antivirus detectan este ransomware activado en sitios web externos maliciosos a trav�s de JavaScript. Pero TeslaCrypt infecta la m�quina de la v�ctima y se extiende a todos aquellos que se encuentran en la misma red.
Lo m�s efectivo es anticiparse al ataque de Teslacrypt, instalando en cada equipo una licencia de RansomWardian, un software de seguridad que protege contra los ataques de ransomware.
10/12/2015 Noticia Ransomware
The Independent fue usado por atacantes para distribuir malware que secuestra los archivos de las v�ctimas.
En las �ltimas semanas ha crecido la preocupaci�n por la distribuci�n de ransomware a trav�s de internet, tipo de malware que se caracteriza por secuestrar los archivos de las v�ctimas con un cifrado y que s�lo podr� recuperarlos al pagar una suma de dinero, si los atacantes cumplen su palabra.
Para distribuir r�pidamente el ransomware los atacantes buscan v�as de infecci�n masivas y aparentemente inofensivas. El peri�dico brit�nico The Independent fue blanco oportuno para comprometer p�ginas que redirig�an a los lectores a una p�gina con el exploit Angler, utilizado para buscar y aprovechar una vulnerabilidad presente en versiones desactualizadas de Flash Player.
La compa��a de seguridad que descubri� este grave problema de seguridad, trabaj� de cerca con el peri�dico para evitar que continuara la distribuci�n del ransomware Cryptesia 2.2.0. Una ventaja para los atacantes es que el portal utiliza el administrador de WordPress, el cual es propenso a vulnerabilidades per se o por componentes externos.
The Independent inform� de que ha finalizado la limpieza del sitio web y ahora se encuentra libre de malware, aunque se desconoce si hubo v�ctimas del ransomware. El peri�dico brit�nico deber� mejorar su seguridad para evitar ser blanco de atacantes y con ello impedir que su imagen se perjudique.
Una soluci�n para evitar ser atacados de nuevo pasar�a por instalar licencias de RANSOMWARDIAN en todos los ordenadores de la publicaci�n.
10/12/2015 Noticia Ransomware
A finales de 2013 aparecieron los primeros ataques de lo que iba a convertirse en uno de los negocios m�s lucrativos de los ciberdelincuentes. Cryptolocker es el nombre de la familia m�s popular dentro de los ransomware, por lo que ha acabado siendo utilizado como nombre com�n que engloba a todas las amenazas de este tipo. El funcionamiento b�sico es siempre el mismo, sin apenas variaciones a nivel conceptual: cifrar documentos y pedir un rescate para poder recuperarlos.
Normalmente geolicalizan la direcci�n IP de la v�ctima para mostrar el mensaje con las instrucciones para pagar el rescate en el idioma del pa�s correspondiente. Los pagos se piden en Bitcoin, y el contacto con los delincuentes se tiene que realizar a trav�s de la red TOR para impedir que las fuerzas del orden puedan rastrearles.
A lo largo de 2014 se fueron popularizando estos ataques, en primer lugar con usuarios dom�sticos como v�ctimas para meses m�s tarde dar el salto al entorno corporativo, ya que les resultaba mucho m�s lucrativo: la informaci�n secuestrada era m�s valiosa, y el rescate de unos 300� (depende de familias y variantes, los 300� es el precio m�s com�n) era algo asumible por las empresas v�ctimas de estos ataques.
En 2015 hemos visto como han mejorado los ataques para tratar de saltarse todas las defensas:
C�mo protegernos de Cryptolocker
De cara a protegernos, debemos recordar que Cryptolocker tiene necesidades diferentes a las del malware tradicional: no es persistente (una vez cifrados los documentos no necesita seguir en el sistema, de hecho algunas variantes se borran a s� mismas), no les importa que los antivirus les detecten (simplemente necesitan que cuando lanzan el ataque no sean detectados, que unas horas despu�s se detecten es ya demasiado tarde y se habr�n salido con la suya).
Las tradicionales detecciones por firmas y heur�sticas son bastante in�tiles, ya que antes de lanzar un ataque probar�n que dichas tecnolog�as no puedan detectar la muestra, y si no es as� la cambiar�n hasta conseguir pasar inadvertidos. El an�lisis de comportamiento no es capaz de detectar lo que hacen en la mayor�a de los casos, normalmente se inyectan en procesos del sistema para desde ah� cifrar los ficheros, haciendo ver que son operaciones normales.
S�lo un sistema que monitorice todo lo que se ejecuta en los ordenadores desde su entrada, como hace RansomWardian puede llegar a ser un m�todo eficaz para parar estos ataques a tiempo, antes de que lleguen a poner en peligro nuestros documentos.
09/12/2015 Noticia Ransomware
Seg�n la investigaci�n, algunas webs con servicios de soporte t�cnico que abusan del cliente est�n propagando ransomware, el cual bloquea los archivos del usuario hasta que �ste paga un rescate por ellos, a menudo en bitcoins.
Los abusos de estos sitios web de soporte consisten en intentar convencer al usuario de que tiene un problema con su ordenador para luego venderle software o servicios de soporte muy caros para arreglarlo. A menudo, se realiza a trav�s de un mensaje emergente tipo pop-up que insta a llamar a un n�mero o a descargar software.
Ahora, a esto se une que Symantec ha descubierto que alg�n site de este tipo est� intentando instalar en los sistemas del usuario ransomware, un tipo de malware que cifra los ficheros del ordenador y pide que se pague, a menudo en bitcoins, por descifrarlos. Seg�n la firma en un post de su blog, las v�ctimas de este tipo de ataque podr�an ser enga�adas dos veces, tanto al soporte t�cnico abusivo como por descifrar sus archivos.
Lo que no est� todav�a claro, seg�n Symantec, es que la gente de estos sitios de soporte trabaje de forma coordenada con los delincuentes que se lucran a trav�s del ransomware, si bien han experimentado con �l. En todo caso, considera posible que estos sitios web, como muchos otros, se hayan visto comprometidos y est�n redireccionando a los visitantes hacia los kits de exploit.
Esta ha sido la primera vez que se encuentra esta combinaci�n, pero los expertos creen que, si ven que esta combinaci�n es efectiva, proliferar�n en los pr�ximos meses.
07/12/2015 Noticia Ransomware
Estamos acostumbrados a recibir todo tipo de correos electr�nicos maliciosos a diario. Algunos intentan convencernos de que son nuestra entidad bancaria y quieren robarnos las claves de acceso a nuestro servicio de banca online usando t�cnicas de phishing, mientras que otros adjuntan ficheros maliciosos que pretenden infectar nuestro sistema, por ejemplo, con alguna variante de ransomware.
Repitiendo la jugada
Precisamente, hace un par de semanas analiz�bamos un caso de falsas facturas que propagaban ransomware y que estaban afectando especialmente a usuarios espa�oles. Estas facturas ven�an adjuntas a un correo redactado en espa�ol que, con un escueto “Un saludo”, nos invitaban a abrir el fichero infectado.
Tras la recepci�n de correos similares durante el d�a de ayer, parece que los delincuentes que est�n detr�s de esta campa�a de propagaci�n de ransomware quieren volver a probar suerte. Sin embargo, esta vez han acotado su p�blico objetivo, puesto que el mensaje tiene la particularidad de estar bien escrito en catal�n.
Si nos fijamos en el correo en s� observamos varios detalles. Para empezar, se ha suplantado la identidad del remitente puesto, que ni el Message ID parece coincidir con el proveedor del correo electr�nico ni la direcci�n de respuesta tiene nada que ver. Es m�s que probable que se haya querido dar una sensaci�n de cercan�a utilizando nombres y apellidos comunes y proveedores de servicios de correo electr�nico que resulten familiares a los usuarios en Catalu�a y Espa�a.
El cuerpo del mensaje es algo menos escueto que el simple saludo del caso analizado anteriormente, y hace referencia a una supuesta factura adjunta al email que se nos presenta dentro de un archivo comprimido .zip. Sin embargo, si abrimos este archivo veremos como, en lugar de una factura en .pdf, encontramos un ejecutable.
Este ejecutable es un c�digo malicioso que las soluciones de seguridad de ESET identifican como una variante de Win32/Injector.CNOM. De la misma forma que la variante analizada hace un par de semanas, este malware se encarga de descargar y ejecutar otros c�digos maliciosos, siendo en este caso un ransomware de la familia Filecoder.
Si lo comparamos con otras variantes de ransomware propagadas utilizando emails en espa�ol observamos que una variante muy similar lanzada apenas un d�a antes (1 de diciembre) ha conseguido elevados porcentajes de infecci�n en Espa�a. Por su parte la variante que utiliza el email en catal�n no ha registrado aun porcentajes de infecci�n significativos
�Es rentable para los delincuentes acotar sus objetivos?
Muchos se preguntar�n el motivo que hay detr�s de una campa�a de env�o de correos maliciosos en catal�n pudiendo usar otras lenguas m�s extendidas, como el espa�ol o el ingl�s, y tener as� la posibilidad de conseguir m�s v�ctimas potenciales. Precisamente en esta segmentaci�n puede radicar el �xito de una campa�a de este tipo.
Los usuarios se est�n acostumbrando a recibir mensajes de este tipo y, aunque a�n de manera lenta, van reaccionando frente a nuevas oleadas de emails maliciosos. Sin embargo, si alg�n catalanoparlante recibe este correo, su instinto le animar� a confiar en �l, puesto que es extra�o ver campa�as de este tipo en lenguas que no sean las mayoritarias en un pa�s.
A pesar de esto, tampoco es la primera vez que se reciben emails maliciosos en catal�n. Hace un par de a�os analiz�bamos un caso de phishing elaborado en catal�n que suplantaba a la entidad Catalunya Caixa. Tampoco se puede despreciar los millones de usuarios que hablan esta lengua, que supera a lenguas oficiales en otros pa�ses de su entorno, y que pueden suponer una buena cantidad de v�ctimas potenciales para los delincuentes que desarrollan estas amenazas.
Conclusi�n
Independientemente del lenguaje en el que recibamos este tipo de correos, hemos de estar atentos para evitar caer en este tipo de trampas. Muchas veces, la seguridad de nuestro sistema est� a un par de clics de rat�n de ser comprometida y hemos de aprender a reconocer estos riesgos para no tener que lamentarnos a posteriori.
30/11/2015 El ransomware ha sido sin duda uno de los protagonistas indiscutibles del a�o 2015 en cuanto a amenazas se refiere. Desde principios de a�o, la variante CTB-Locker fue responsable de miles de infecciones en Espa�a. El malware se propagaba a trav�s de ficheros adjuntos en correos electr�nicos que dec�an contener un fax importante o una factura. Consigui� que muchos usuarios desprevenidos lo ejecutasen e infectasen sus sistemas.
Otro caso de ransomware importante durante el 2015 fue el protagonizado por Lockerpin. Este ransomware afectaba a los tel�fonos m�viles, bloqueando los dispositivos modificando el PIN original. Emblem�tico tambi�n fue el ransomware que afect� a Correos de Espa�a. Nuestro pa�s se convirti� en el foco principal de ataques de diferentes variantes de Filecoder a trav�s de la suplantaci�n de esta empresa. Los usuarios recib�an supuestas cartas certificadas online que al ser abiertas infectaban la m�quina bloqueando los ficheros.
En los �ltimos meses, otra variante de ransomware, conocida como Cryptowall, ha ganado en importancia y ha pasado a ser una de las m�s distribuidas, ya que ha causado importantes p�rdidas a los usuarios infectados, que algunas fuentes llegan a cifrar en m�s de 325 millones de d�lares.
11/11/2015 Noticia Ransomware Aunque Apple siempre ha vendido que sus ordenadores Mac son seguros en comparaci�n con los que utilizan Windows, la realidad es que al haber muchos m�s ordenadores con Windows en el mundo, los atacantes crean m�s virus y malware para estos ordenadores, ya que el n�mero de potenciales v�ctimas es infinitamente mayor.
Hasta ahora y debido a ese mismo motivo, el ransomware estaba atacando �nicamente a los modelos con Windows, pero se ha demostrado que los Mac tampoco son infalibles, ya que un programador brasile�o ha conseguido crear un ransomware para OS X, que cifra los archivos y solicita el pago de un importe para su rescate.
Malas noticias: hoy en d�a no existe ninguna aplicaci�n que revierta el cifrado de un ransomware. Los archivos est�n protegidos por una contrase�a que utiliza t�cnicas criptogr�ficas extremadamente complejas.
Lo mejor para mantener sus datos protegidos de estos ataques es tener copias de seguridad actualizadas para que, en caso de ser atacados con un ransomware, se pueda restaurar la informaci�n.
Estos ataques son cada vez m�s comunes y no existe una soluci�n para que, una vez infectado, su equipo pueda ser desbloqueado ni se puedan recuperar sus datos. Por lo tanto, la �nica soluci�n es recurrir a la prevenci�n, protegi�ndose con licencias de Ransomwardian instaladas en cada equipo inform�tico.
10/11/2015 Noticia Ransomware Este nuevo ransomware al que se ha denominado ransomweb, cifra los ficheros necesarios para el desarrollo de una p�gina web que se encuentre alojada en servidores webs basados en Linux.
�ste ransomware, se aprovecha de vulnerabilidades del servidor web o de los programas utilizados por el webmaster para secuestrar los ficheros que componen una web, lo que se conoce como Ransomweb. El malware cifra los ficheros necesarios para el desarrollo de una p�gina web, borrando los ficheros originales una vez han sido cifrados y cambiando la extensi�n de los mismos.
Lo novedoso de este ransomware es que ataca a un sistema operativo que se hab�a mantenido al margen hasta el momento y que, a diferencia de otros que cifran casi cualquier tipo de fichero, cifra archivos en carpetas que suelen ser utilizadas para almacenar la informaci�n que se muestra a los visitantes de una web.
Adem�s, tambi�n busca extensiones de ficheros utilizados en el desarrollo web, afectando as� tanto a ficheros incrustados en la web secuestrada como aquellos que el webmaster almacenase en el servidor.
Frente a los virus ransomware que cifran la información.
Frente al ransomware y las pérdidas de datos.
También ofrecemos copias de seguridad de doble seguridad.
El ransomware no podrá acceder a su información.
Durante este 2015 se ha disparado la propagación de ransomware, un software malicioso que cifra la información y extorsiona a sus víctimas solicitando un elevado importe por el rescate de sus datos.
El pago de dicho chantaje NO GARANTIZA, en la mayoría de casos, que la víctima recupere su información.
Software propietario RansomWardian para proteger sus ordenadores del ransomware.
Licencias de uso anuales para cada ordenador que quiera proteger del ransomware.
Mantiene sus equipos informáticos protegidos fuera del alcance del ransomware.
Para todos los equipos informáticos con el sistema operativo Windows intalado.
El tiempo de inactividad por un ataque ransomware provoca pérdidas económicas y de reputación.
Protegemos la integridad de su información, el activo más importante hoy en día para empresas, instituciones...
El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y cifrar nuestros archivos, quitándonos el control de toda la información y datos almacenados.
Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate, que en la mayoría de casos, no nos devuelve el acceso a nuestros datos.
Cryptolocker, Cryptowall, CoinVault, CTB-Locker, TeslaCrypt, su variante AlphaCrypt, Torrentlocker, DecryptorMax, CryptInfinite, etc. En España ha sido muy famoso el ransomware de cifrado conocido popularmente como Virus de la Policía (también lo había simulando al FBI), que tras bloquear el ordenador infectado, lanza un mensaje simulando ser la Policía Nacional y advirtiendo que desde ese equipo se ha detectado actividad ilegal relacionada con la pederastia o la pornografía.
Para volver a acceder a toda la información, el malware le pide a la víctima el pago de un rescate en concepto de multa.
Tener instalado nuestro software RANSOMWARDIAN protege el ordenador del ataque de los ransomwares y, por tanto, también nuestra valiosa información.
Se trata de un programa similar a un antivirus que protege su ordenador y sus datos de ser secuestrados y cifrados.
Ransomware para Windows
89%
Víctimas CTB-Locker Europa
35%
Víctimas Cryptolocker
75%
Crypto-Ransomware 2015
60%
35€+iva / licencia
Consultar / volumen
Consultar / volumen
Consultar / volumen
Si desea mantenerse informado/a sobre las novedades relativas a nuestro sofware RansomWardian, nuevas amenazas de ransomware y consejos de prevención, suscribase gratuitamente indicando su e-mail.
En virtud de lo establecido en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, le informamos de que los datos personales que deposite en cualquiera de nuestros formularios, pasarán a un archivo electrónico creado por Laninfor Informática, S.L. con el fin de facilitar un desarrollo rápido y eficaz del contacto con esta entidad, para dar respuesta a las consultas, sugerencias y peticiones que nos haga llegar, as� como para informarle de nuestras ofertas y novedades. En cualquier momento usted podrá ejecutar sus derechos de acceso, rectificación, cancelación y oposición sobre los datos que estén incorporados al fichero automatizado de Laninfor Informática, S.L. Para ello, puede contactar con Laninfor Informática, S.L. mediante correo electrónico a Laninfor Informática, S.L., indicando si desea modificar sus datos de contacto o ser borrado de nuestra base de datos.