El Virus Policía
El ransomware es un virus malintencionado que bloquea la computadora en nombre de la policía y solicita el pago para poder reutilizarla.
El enero pasado, el Centro Nacional de Respuesta a Incidentes Cibernéticos (CERTMX) de la Policía Federal Mexicana informó sobre algunos incidentes en varios puntos de México relacionados con el malware Ransomware, llamado también como “El virus de la policía”, que ya se había reportado en otros países, como Argentina y Alemania.
Roberto Martínez, analista de Malware para Kaspersky Lab México, precisó que este tipo de malware se propaga a través de anuncios maliciosos en Internet (malvertising) colocados en cierto tipo de sitios Web de descarga de música o videos, que incluso pueden venir embebido dentro los mismos archivos. Además, este código malicioso utiliza las vulnerabilidades en aplicaciones instaladas.
El ransomware es un tipo de software malintencionado que bloquea la computadora y solicita el pago de una multa de 100 euros.
El 13 de febrero, la Brigada de Investigación Tecnológica de la Policía Nacional de España en colaboración con Europol, desarticularon una red dedicada a la distribuir este tipo de malware hacia diferentes países. En este caso, los ciberdelincuentes se localizaban en la Costa del Sol y habían obtenido 1,000,000 euros al año.
Kaspersky Lab señaló que al momento en que el usuario accede al sitio malicioso o ejecuta un archivo infectado, se instala una copia del malware en el equipo del usuario al directorio C:ProgramData (en este caso el archivo que se obtuvo de las muestras se llama ifgxpers.exe) junto con 2 archivos de imágenes con extensiones .bmp y .jpg, que corresponden a la pantalla que aparece al usuario al momento de bloquear su equipo.
El malware genera una nueva entrada en la llave de registro de Windows que le permite ejecutarse cada vez que se reinicia el equipo simulando ser una aplicación valida de Adobe ARM.
La aplicación utiliza un certificado auto firmado para simular ser una aplicación autentica.
El malware ejecuta una instancia del C:WINDOWSsystem32svchost.exe para hacer llamadas a las librerías dinámicas que utiliza, también usa técnicas para evitar ser deshabilitado, como el impedir que se ejecute el administrador de tareas del sistema o la consola de línea de comandos de Windows. Elimina o modifica las llaves de registro que permiten iniciar Windows en modo seguro para poder limpiar el equipo, como son:
- HKLMSYSTEMControlSet001ControlSafeBootMinimal
- HKLMSYSTEMControlSet001ControlSafeBootNetwork
- HKLMSYSTEMCurrentControlSetControlSafeBootMinimal
- HKLMSYSTEMCurrentControlSetControlSafeBootNetwork
El código malicioso bloquea el equipo del usuario y éste se ve obligado a reiniciarlo. Una vez que el usuario reinicia su equipo, le aparece una imagen en la pantalla y si el usuario no está conectado a la red, aparece un cuadro de texto solicitando que se conecte a Internet.
En el mensaje se le notifica al usuario que la“Policía Federal” ha bloqueado el equipo por alguna de las siguientes razones:
- Violación a derechos de autor
- Posesión de material pornográfico
- Actividades terroristas
- Difusión de malware
- Juegos de Azar
En la misma pantalla se le notifica al usuario que debe pagar una multa de $1,000 pesos (aproximadamente $78 dólares) en un plazo no mayor a 48 horas, de lo contrario no podrá desbloquear el equipo y se iniciará una causa legal contra el usuario. Asimismo, se indican los medios para realizar el pago de la supuesta multa ademas de un aviso de que su micrófono y cámara están habilitados para grabar cualquier acción que el usuario realice.
La amenaza es detectada por Kaspersky como Trojan-Ransom.Win32.Blocker.aqrx y el mayor número de infecciones se ha presentado en México.
En caso de que su equipo sea víctima se recomienda:
- Mantenga la calma, ya que el acceso al equipo puede reestablecerse sin necesidad de realizar ningún pago.
- Tenga instalada y actualizada su software antivirus
- Mantener el sistema operativo y las aplicaciones del equipo actualizadas
- Evite navegar en sitios de dudosa reputación o hacer clic en links de correos electrónicos desconocidos
- Evite la descarga de contenidos y la instalación de aplicaciones no originales.