Nuevo malware ransomware se aprovecha de Windows Power Shell



El ransomware es uno de los programas maliciosos más flagrantes para hacer dinero y de los más evidentes creados por los cibercriminales y es muy probable que usted ya conozca sobre ellos cuando el año pasado el ransomware Cryptolocker infectó a millones de ordenadores en todo el mundo.

Recientemente, los investigadores de seguridad de la firma antivirus TrendLabs han descubierto una variante sofisticada del malware ransomware que está empleando a Windows PowerShell para cifrar los archivos en la computadora de la víctima. La empresa detectó la variante como TROJ_POSHCODER.A.

Windows PowerShell es el automatizador de tareas y quien gestiona la configuración del sistema operativo de Microsoft, que consiste en un lenguaje shell script asociado a una línea de comandos. Proporciona acceso completo a COM y WMI, lo que permite a los administradores realizar tareas administrativas en ambos sistemas locales y remotos de Windows, así como en WS-Management y en CIM que permite la gestión de sistemas remotos en Linux y en dispositivos de red.

Se cree que los cibercriminales han utilizado esta característica de Windows simplemente con el fin de hacer la detección y análisis de malware más difícil de detectar en un sistema afectado. Sin embargo, fracasaron en este punto ya que el uso de las características de Windows PowerShell hizo mucho más fácil para los investigadores detectar el software malicioso .

"En este caso, el uso de PowerShell hizo más fácil de detectarlo, ya que el malware también es modificable", se lee en la entrada del blog. "El descifrado y análisis de este malware no fue muy difícil, sobre todo en comparación con otras variantes del ransomware"
.
TROJ_POSHCODER.A es un malware basado en secuencias de comandos, ya que se utiliza la característica de Windows PowerShell. El malware utiliza el Advanced Encryption Standard (AES) para cifrar los archivos y la clave pública criptografíca RSA-4096 para intercambiar la clave AES con las de las víctimas con el fin de descifrar los archivos.

Una vez que el ransomware es instalado y ejecutado el sistema Windows de la víctima, cifra los archivos existentes en el sistema infectado y luego les cambia el nombre a: {nombre del archivo}. POSHCODER. Además, también se añade el archivo UNLOCKYOURFILES.html en cada carpeta.

Tan pronto como se cifran todos los archivos en el sistema infectado, se muestra un mensaje para las víctimas diciendo que: "Los archivos se cifrarán y se encriptaran con una llave RSA4096" a continuación les pedirá seguir algunas instrucciones con el fin de descifrar sus archivos como se muestra en la captura de pantalla:



Las instrucciones de la nota de rescate llevará a los usuarios a otra página, como se muestra a continuación, pedirá además a las víctimas descargar la aplicación Multibit para tener su propia cuenta en Bitcoin y lograr 1 Bitcoin.




Después que las víctimas compren la aplicación, se les instruye para llenar y enviar el formulario que contiene información personal como la dirección del correo electrónico de las víctimas, la dirección BTC y el ID, para así poder obtener las claves de descifrado. Esta nueva variante ha afectado principalmente a usuarios de habla inglesa en los Estados Unidos.

En artículos anteriores, hemos destacado muchas variantes de Cryptolocker y otras amenazas similares que tienen la capacidad de realizar tareas adicionales como el uso de diferentes idiomas en sus advertencias y el robo de dinero virtual en cryptocurrency wallets.

CryptoLocker es especialmente peligroso debido a su tasa de infección y es el virus más dañino de Windows en una serie de troyanos ransomware recientes.

También se informó el mes pasado que los ciberdelincuentes han comenzado a hacer una focalización de los Smartphones con piezas especiales de software malicioso que bloquea los dispositivos hasta que las víctimas paguen un rescate para conseguir las claves para desbloquear el teléfono , lo que pone de manifiesto cómo los delincuentes se ven motivados en ir mejorando continuamente estas amenazas con el tiempo para así lograr dinero fácilmente.

¿Qué medidas puede tomar usted para reducir el riesgo de que su equipo se infecte? A los usuarios se les recomienda no abrir archivos adjuntos de correo electrónico de fuentes desconocidas y hacer copias de seguridad de sus datos que sean importantes en un dispositivo externo o en la nube. Si usted cree que ha sido infectado, actue con rapidez. ¡Mantente seguro!