Inicio / Blog / RANSOMWARE III: Variante Lock Screen

RANSOMWARE III: Variante Lock Screen

Publicado el 02/01/2014, por David Cantón (INCIBE)
Virus de la Policia

Siguiendo con la serie de entradas sobre Ransomware de semanas pasadas (introducción y ransomware de cifrado ), hoy continuamos describiendo la segunda categoría de ransomware, el ransomware no cifrado o lock screen ransomware. Esta segunda categoría está caracterizada por bloquear el uso o acceso del ordenador, pero sin cifrar la información. Típicamente fija una vista con el mensaje y la petición de rescate, impidiendo cualquier acción para cerrarlo, además del acceso al administrador de tareas, a los navegadores web o a cualquier otra parte del sistema. Este tipo de ransomware apareció bastante más tarde que la otra categoría, detectándose las primeras muestras en el 2010.

Un ejemplo de este tipo de malware es el «WinLock» (2010). En sus primeras versiones afectó a más de diez mil usuarios en Rusia, Ucrania, Bielorrusia y Moldavia, bloqueando el acceso de los ordenadores y solicitando el envió de SMS Premium para su desbloqueo. El modus operandi del troyano es básicamente el siguiente:

1. Una vez lanzado el troyano, este modifica el «autorun» del registro de Windows y configurando así su inicio automático al arrancar el ordenador.

2. Deshabilita el administrador de tareas y bloquea algunas herramientas de trabajo.

3. Crea una ventana emergente sobre todo el escritorio, que bloquea cualquier tipo de actividad, estando constantemente manteniéndose como ventana superior. Versiones posteriores modificaron sus mensajes de rescate por imágenes pornográficas.

Otra muestra es el gusano que se detectó en 2011 que tomaba la apariencia de la pantalla del Producto de Activación de Windows y solicitaba que se llamara a un número telefónico internacional supuestamente gratuito, pero que tenia asociado un coste elevado.

<Fake Windows Activation screen

Falsa Pantalla de activación de Windows

Especial atención merece el malware conocido como Virus de la policía o Reveton, debido a su gran difusión y repercusión mediática, llegando a infectar a más de 500.000 computadoras en un periodo de 18 días. La forma de actuar es muy similar a WinLock, pero en vez de usar un mensaje de rescate típico muestra un mensaje en pantalla suplantando la identidad de los Cuerpos y Fuerzas de Seguridad del Estado (CFSE). Este mensaje, que está geolocalizado para adecuar el mensaje al idioma y autoridad correspondiente a la región del usuario, solicita el pago de una multa por uso de software sin licencia o por visualización de contenido pornográfico ilegal, y hasta que el usuario no pague la «multa» el ordenador seguirá secuestrado.

 

<ransomware localización de mensajes

Imágenes con localización específica para EE.UU., Reino Unido, Alemania y Austria (Symantec)

De esta manera, este tipo de amenaza hace uso de la ingeniería social para intentar, que al provocar miedo o vergüenza a la víctima del ataque, conseguir una mayor tasa de éxito en el cobro del rescate. Para conseguir este efecto, se intenta dar el aspecto más oficial y fidedigno posible a los mensajes mostrados en pantalla, usando logos y nombre oficiales de los CFSE, así como también acusar de temas específicos como descargas de contenido ilegal o la visualización de pornografía infantil.

Otras versiones de este tipo de ransomware, como el Kovter, se están volviendo más agresivas. Están modificando su modo de actuar, ya que primero conectan realmente el navegador web del ordenador infectado a redes de pornografía infantil, para después mostrar el mensaje que suplanta a la policía.

 

<Virus de la Policia

Mensaje del Virus de la Policía Nacional

Aunque las autoridades competentes están luchando activamente como, por ejemplo, con las detenciones realizadas por la Policía Nacional Española en colaboración con la Europol, se siguen detectando nuevas versiones y continúa su expansión por países iberoamericanos, en busca de nuevas víctimas. También siguen notificándose nuevas infecciones de este tipo en Estados Unidos, una es «U.S.A. Cyber Crime Investigations malware» la cual, como todos los de esta clase, muestra un mensaje en el centro de la pantalla del ordenador, fingiendo ser una institución policial y culpando al usuario por violar la ley.

<Mensaje Ransomware Policia Argentina

Mensaje de ransomware personificando a la policía Argentina

Etiquetas: