Delincuencia creativa: Ransomware con programa de referidos

Delincuencia creativa: Ransomware con programa de referidos

Definitivamente la creatividad no tiene límites y la delincuencia no tiene escrúpulos. ¿Serías capaz de infectar a alguien más por recuperar tus archivos gratis?

El Ransomware lleva algo de tiempo circulando por la red. A la fecha, ya muchos conocerán de que se trata esta nueva forma de extorsión, ya sea porque han escuchado o porque han sido víctimas de él.

El Ransomware es un tipo de malware que te engaña para instalarlo en tu equipo o móvil y en lugar de hacer lo que promete, te encripta los archivos importantes como documentos, fotos y videos, y luego pide un rescate, típicamente en Bitcoins, debido a que este tipo de transacciones no dejan traza. Si no pagas el rescate, significa la pérdida de tu información sin posibilidad de recuperarla, pues, en su mayoría este tipo de malware te da un tiempo límite para realizar el pago.

El equipo de MalwareHunterTeam ha descubierto un nuevo tipo de Ransomware llamado Popcorn Time (Que no es la aplicación para ver películas) que propone una manera bastante inusual de recuperar tus archivos: Infectando a otras personas. El malware, además tiene una rutina que borra completamente los archivos infectados si escribes mal el código 4 veces.

El malware provee en su notificación una dirección de Bitcoin, a donde puedes enviar el dinero del rescate para recuperar tus archivos. A este le llaman la forma rápida y fácil. Pero también existe, la manera ruin (The Nasty Way), un link, el cual puedes enviar a otras personas para que se infecten y si dos o más de estas efectivamente se infectan y pagan el rescate, te envían la clave de desencriptación de tus archivos.

Al ejecutarse, el malware verifica si no ha corrido antes en ese equipo, buscando archivos cómo %AppData%\been_here y %AppData%\server_step_one. Si el archivo existe, quiere decir que ya corrió por lo menos una vez, y no realiza ninguna acción. Si no, empieza su proceso de instalación y encriptación de los archivos.

Actualmente se determinó que busca los archivos en Mis Documentos, Mis Imágenes Mi Música y el Escritorio, y busca los archivos con las siguientes extensiones:

[su_spoiler title=»Haz click aquí para ver las Extensiones» icon=»folder-2″].1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp[/su_spoiler]

Quizás te interese:   El material más negro del mundo evade hasta los espectrómetros

Si encuentra cualquiera de esas extensiones, los cifra usando AES-256 y le agrega la extensión .filock, es decir, si tienes un archivo llamado documento.doc, ahora será documento.doc.filock.

Los delincuentes ponen en su mensaje que son personas afectadas por la guerra de Siria y que el dinero recaudado será usado para comida y refugio, un acto aparentemente noble, pero que no deja de ser un acto delictivo.

Los delincuentes son supuestamente personas que quieren ayudar a los refugiados de siria

Como siempre, la mejor forma de defenderte de estos ataques es estar muy pendientes de lo que descargamos, de los mails que abrimos y de los sitios que visitamos.

Lo interesante aquí es si habrá gente que buscará infectar a otros para no pagar rescate. El instinto de supervivencia a veces puede jugarnos malas pasadas y es probable que alguien desesperado lo intente. ¿Serías capaz de ayudar a los delincuentes por recuperar tus datos?

Recuerden dejar sus comentarios, alimentan el debate y nos ayudan a mejorar.

Fuente: SlashDot

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.