Hay un nuevo virus ransomware por ahí fuera que va detrás de los jugadores de unos 40 juegos online en un evidente ataque que se dirige al público más joven de los usuarios de ordenadores.
Ransomware es un tipo de malware que segmenta y cifra los archivos de los usuarios en equipos infectados. Una vez los archivos están firmemente cifrados, los cibercriminales que controlan el malware piden un rescate por la clave privada que puede descifrar los archivos. Después de un periodo de tiempo preestablecido, los atacantes destruyen la clave de descifrado.
El primero en declarar el malware fue Bleeping Computer, un soporte técnico y un foro de educación de usuarios que rápidamente se ha establecido como una fuente de referencia de información sobre dispositivos de cifrado y programas ransomware. Bleeping Computer ha denominado el malware TelsaCrypt, mientras que la empresa de seguridad Bromium publicó un informe diferente completamente independiente sobre esta amenaza, en el que lo están caracterizando como una nueva variante de CryptoLocker. Bleeping Computer reconoce el mérito de Fabian Wosar de Emsisoft por ser el primero en descubrir TeslaCrypt.
New #TeslaCrypt #Ransomware sets its scope on video gamershttp://t.co/u3cO8iMdp8 pic.twitter.com/rrhBG9HJ4x
— BleepingComputer (@BleepinComputer) February 27, 2015
Según Bleeping Computer, TeslaCrypt se dirige a archivos asociados a juegos y plataformas como RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks y también otros populares juegos online. Esto es un cambio respecto a la estrategia anterior que solía dirigirse a documentos, fotografías, vídeos y otros archivos estándar almacenados en los ordenadores de los usuarios. Utiliza el cifrado AES (Advanced Encryption Standard en inglés) para que los jugadores no puedan acceder a los archivos asociados al juego sin la clave de descifrado. Esta contraseña, por cierto, va a salir a los usuarios por 500$ si eligen pagar con Bitcoin y 1.000$ si eligen pagar vía PayPal My Cash Card.
#CryptoLocker Variant Coming After Gamers – https://t.co/PpCEfk5bbL
— Threatpost (@threatpost) March 12, 2015
Mientras Bleeping Computer abrió camino, Bromium fue determinante y añadió a la historia cómo TeslaCrypt está siendo distribuido. No sorprende que los cibercriminales presenten el virus dentro de Angler Exploit Kit. Los Exploit Kits son paquetes fundamentalmente de software hechos para comprometer los sistemas informáticos. Vienen cargados con exploits para vulnerabilidades comunes de seguridad y, al igual que la industria de software, los cibercriminales pueden pagar derechos de licencia para poder acceder a ellos. Exploit Kits ofrece una vía fácil para que los atacantes carguen el malware en los ordenadores de sus víctimas. Durante años, BlackHole fue el primero Exploit Kit. Sin embargo, este paquete malicioso dejó de ser usado después de que su autor limitara el desarrollo y posteriormente fuera arrestado en Rusia. Desde hace un año y medio, Angler ha emergido para ocupar este vacío, integrando constantemente los ataques de día-zero más recientes así como también los exploits para esas vulnerabilidades.
Un nuevo virus #ransomware llamado #TeslaCrypt está robando a los jugadores
Tweet
Después de la infección, el malware cambia el fondo de sus ordenadores por una notificación indicando que los archivos del usuario han sido cifrados. El mensaje contiene instrucciones sobre cómo y dónde necesitan ir los usuarios para comprar la clave privada que permite descifrar sus archivos. Parte del proceso implica descargar el Tor Browser Bundle. Curiosamente, hay una página web oculta de servicios en la que los usuarios infectados pueden recibir soporte técnico de los autores del malware sobre cómo realizar el pago y luego descifrar sus archivos. El aviso también contiene una fecha límite, después de la cual la clave privada será destruida y los archivos serán imposibles de recuperar…
El aviso es muy similar al del infame ransomware CryptoLocker, que puede ser, de hecho, la razón por la cual Bromium considera que las dos piezas del malware están relacionadas entre sí. Como Bromium apunta, las similitudes técnicas entre las dos son insignificantes, pero creen que TeslaCrypt hace uso de la marca CryptoLocker.
Como siempre, desde Kaspersky Daily no podemos quedarnos con la conciencia tranquila aconsejando a alguien que pague por la clave privada. Hacer esto fomentaría este tipo de estafa. La mejor defensa contra esto y otros programas ransomware similares es hacer copias de seguridad regularmente. En un Mac, el Time Machine es un excelente servicio que realiza copias de seguridad automáticas en los dispositivos de almacenamiento conectados. Si fueras infectado, podrías simplemente abrir el Time Machine y recuperar la configuración de tu ordenador a una fecha anterior a la infección. Windows ofrece una aplicación de recuperación similar que también permite a los usuarios retroceder en el tiempo. La mejor opción es simplemente hacer copias de seguridad de todos tus archivos y programas importantes en un disco duro externo dos veces al mes. De esta forma, puedes simplemente eliminar todos los archivos cifrados, utilizar un antivirus para eliminar cualquier malware, y luego recuperar tus archivos desde tu disco duro externo.
Por supuesto, también necesitas instalar un sistema operativo, un software, una aplicación y un navegador, todo ellos actualizados. La gran mayoría de los Exploit Kits se dirigen a vulnerabilidades de seguridad conocidas y parcheadas..
Tip of the week: How to protect yourself from #cryptoware http://t.co/ZaxUdhnTp1 #security pic.twitter.com/3UsHF1bi38
— Kaspersky (@kaspersky) October 3, 2014
Lo hemos dicho antes y lo repetiremos otra vez: los ransomware cifrados están aquí para quedarse y son malas noticias, así que asegúrate de que dedicas un tiempo a hacer copias de seguridad de tus equipos. Además, como puedes ver con el despliegue de soporte técnico y las marcas, las personas que están detrás de estas estrategias tienen la vista puesta en el negocio y el marketing. En otras palabras, lo están haciendo cada vez mejor con los usuarios infectados y les están convenciendo para pagar con el fin de poder recuperar sus archivos. Esta realidad existe en un mundo en el que cada vez conectamos más cosas a Internet, lo que sólo agravará el problema.
Última actualización: Junto con la policía holandesa hemos desarrollado una web para que puedas recuperar los archivos víctima del ransomware CoinVault.