• Home /

  • Ciberseguridad /

  • Si visitas páginas porno ten cuidado: este falso ransomware puede convertir tu PC en un infierno

Si visitas páginas porno ten cuidado: este falso ransomware puede convertir tu PC en un infierno

Como rescate, los ciberdelincuentes piden por recuperar el acceso a tus archivos 300 dólares en Bitcoin en tres días o 600 si pagas en siete días.

Alberto Payo

Periodista

Guardar

Ilustración de pornografía online
Ilustración de pornografía online

El ransomware no solo es una técnica usada para chantajear a organismos públicos, empresas de todos los tamaños, hospitales o universidades. También puede usarse para atacar a usuarios particulares y comprometer sus equipos informáticos. De hecho, así nació el primer ransomware de la historia, propagado mediante diskettes, cuyo origen te contamos hace tiempo en Escudo Digital.

Esta faceta más "individual" de la amenaza estaría siendo explotada por un grupo de ciberdelincuentes, quienes tienen por objetivo a los y las internautas que visitan páginas web para adultos. 

Las susodichas webs porno animan a sus visitantes a que se descarguen un ejecutable llamado SexyPhotos.JPG.exe, que pretende hacerse pasar por una imagen JPG. Es fácil que acabe en la carpeta de Descargas del equipo. Si los usuarios hacen doble click en él en realidad se iniciará un wiper que dejará inaccesibles casi todos los archivos del PC. 

Así lo advierten en el blog de la firma de ciberseguridad Heimdal Security, aunque cuentan que el primero en informar sobre esta campaña fue Cyble Research and Intelligence Labs (CRIL). Esta descubrió que el falso ransomware ejecuta cuatro ejecutables (del.exe, open.exe, windll.exe y windowss.exe) y un archivo por lotes (avtstart.bat) en el directorio%temp% del usuario.

El archivo windowss.exe en concreto libera tres archivos adicionales y entre ellos está windows.bat, que se encargará de modificar el nombre de todos los archivos que haya en el ordenador con un nombre genérico. 

Así los archivos de destino existentes en PC teóricamente no se modifican ni cifran, pero el usuario tampoco tiene forma de conocer sus nombres originales, resultando inaccesibles para él. De ahí que se hable de 'falso ransomware'.

El malware usaría extensiones de todo tipo de archivos y carpetas para realizar la operación de cambio de nombre. Son algunas de estas: *.jpg *.bat *.lnk *.vbs *.css *.js *.apk *.GIF *.ico *.log *.py *.sys *.jar *.inf *.bin *. pdf *.JPEG *.png *.dll *.PSD *.BMP *.aac *.amr *.wav *.wave *.ogg *.wma *.3gp *.flv *.mkv *.mp4 *.mpeg * .mkw *.wmv *.7z *.bin *.gzip *.gz *.jar *.xar *.msi *.zip *.doc *.rar *.docm *.docx *.dotx *.epub *.pdf *.avi *.mht *.htm *.iso *.key *.pak *.svg *.csv *.tgz *.torrent *.xlsx *.xls *.php *.html *.HTML *.xml *aac *.mpeg *.flv *.mp3 *.mp4 *.exe.

En este punto, ha llegado el momento de 'monetizar' el ataque. Los cibermalos colocan una nota de rescate en windll.exe en varios lugares con el nombre de Readme.txt. 

Si las víctimas quieren recuperar el acceso a sus archivos no les queda otra que pasar por caja. Los hackers piden 300 dólares en Bitcoin en el plazo de tres días. Si se demoran más les solicitan 600 dólares, dándoles una semana como máximo para realizar el pago. En el caso de que no lo lleven a cabo todos sus archivos serán eliminados permanentemente del servidor del atacante. 

Cómo hacer frente al falso ransomware

Los investigadores afirman que hay una manera de recuperar los datos sin tener que aflojarse el bolsillo ni ceder al chantaje económico. Sería tan fácil como restaurar el sistema operativo a un estado anterior. No obstante, dependiendo de cuál sea la fecha del último punto de restauración, aun puede existir pérdida de datos. 

Los backups periódicos y frecuentes son fundamentales para evitar incidentes de este tipo. Los expertos aconsejan hacerlos y guardarlos offline una red separada para que no sean dañados si se da un ataque.