Ransomware imita la activación de Windows en pantalla y utiliza los resultados de búsqueda envenenadas.


Se descubrió el código de desbloqueo, los usuarios pueden pasar por alto la estafa.



Un nuevo ransomware que bloquea la pantalla se dirige principalmente a los usuarios de Estados Unidos, haciéndose pasar la activación de Windows mediante un cuadro de dialogo y pide a los usuarios llamar a un número de teléfono gratuito para recuperar el acceso a su PC.


El ransomware fue descubierto por primera vez por el investigador de seguridad S! Ri y luego por el equipo de Symantec, y no se distribuye en masa al igual que otras amenazas, sólo ha logrado unas pocas infecciones.

Lo que hace diferente a este ransomware son algunos detalles pequeños que revelan que este no es un ransomware ocasional de bloqueo de pantalla comprado en la dark web por un ladrón de poca monta, ya que ha sido bien planificada de antemano.

"El Ransomware se distribuye a través del archivo freedownloadmanager.exe"

En primer lugar, las infecciones se producen a través de un programa llamado freedownloadmanager.exe, que algunos usuarios podrían instalar en su ordenador.

En realidad, esto instala el ransomware, que se hace cargo de la pantalla del usuario y muestra una pantalla con el estándar fondo de escritorio de Windows 10, y un campo de entrada. Por encima de este campo de entrada, está el mensaje siguiente:

"Su licencia de Windows ha caducado, por favor obtenga una nueva llamando a 1-888-303-5121"
Por encima de este mensaje se muestran los iconos de dos aplicaciones, LogMeIn y TeamViewer. Ambas son aplicaciones legales y seguras que permiten a alguien iniciar sesión en un equipo remoto.

El papel de estos accesos directos no está claro por el momento, pero podría ser aplicaciones totalmente de trabajo comprimidos dentro del ransomware que podría permitir una intrusión en el escritorio del usuario para reactivar el ordenador cuando se llama al número de teléfono gratuito.

"Nadie contesta al número de teléfono gratuito"

Esta es sólo una especulación desde Symantec pues llamaron al número que aparece en la pantalla, como prueba, pero nadie respondió durante 90 minutos. Como tal, el precio que podría adoptar para desbloquear este tipo de ransomware se desconoce por el momento.

Las cosas se ponen más raro en la búsqueda de Google del número de teléfono gratuito. Esta búsqueda produce un gran número de resultados que aconsejan a los usuarios pagar la cuota para deshacerse de la pantalla de activación.

Symantec dice que esto se debe al parecer a los resultados de búsqueda envenenadas, lo más probable es que fue creado y promovido para el uso de técnicas de black hat SEO por los hackers para convencer a los usuarios a pagar por la tarifa de activación.

Afortunadamente, los desarrolladores de Symantec, y desarrollador Chad Loeven de VMRay, han descubierto que escribiendo 8716098676542789 en el campo de activación se eliminará el ransomware.


Fuente: Softpedia