Sitios falsos para adultos están distribuyendo peligroso malware
Sitios web maliciosos para adultos están distribuyendo ransomware falso que, en realidad, actúa como un (wiper) limpiador. Este limpiador intenta eliminar silenciosamente casi todos los datos de tu dispositivo.
Si bien no está claro cómo los ciberdelincuentes promocionaron los sitios web, todos usaron nombres de host que indicaba que estaban ofreciendo fotos de desnudos. Por ejemplo, nude-girlss.mywire[.]org, sexyphotos.kozow[.]com y sexy-photo[.]en línea.
Según la firma de inteligencia de amenazas Cyble, quien informó por primera vez sobre la campaña, los sitios web solicitan automáticamente a los usuarios que descarguen un ejecutable llamado SexyPhotos.JPG.exe.El ejecutable se hace pasar por una imagen JPG.
Sin embargo, como Windows desactiva las extensiones de archivos de forma predeterminada, un usuario habría visto un archivo llamado SexyPhotos.JPG en su carpeta de Descargas. En otras palabras, probablemente habría hecho doble clic en él, pensando que era una imagen.
Al iniciarse, el ransomware falso coloca cuatro ejecutables (del.exe, open.exe, windll.exe y windowss.exe) y un archivo por lotes (avtstart.bat) en el directorio %temp% del usuario y los ejecuta.
El archivo por lotes (batch) establece la persistencia al copiar los cuatro ejecutables en la carpeta de inicio de Windows.
A continuación, se ejecuta “windowss.exe” para colocar tres archivos adicionales, incluido “windows.bat”, que realiza el cambio de nombre. Los tipos de archivo y las carpetas a las que se dirige el archivo por lotes te las mostramos en la siguiente tabla:
| Extensiones de archivos | *.jpg *.bat *.lnk *.vbs *.css *.js *.apk *.GIF *.ico *.log *.py *.sys *.jar *.inf *.bin *.pdf *.JPEG *.png *.dll *.PSD *.BMP *.aac *.amr *.wav *.wave *.ogg *.wma *.3gp *.flv *.mkv *.mp4 *.mpeg *.mkw *.wmv *.7z *.bin *.gzip *.gz *.jar *.xar *.msi *.zip *.doc *.rar *.docm *.docx *.dotx *.epub *.pdf *.avi *.mht *.htm *.iso *.key *.pak *.svg *.csv *.tgz *.torrent *.xlsx *.xls *.php *.html *.HTML *.xml *aac *.mpeg *.flv *.mp3 *.mp4 *.exe |
| Rutas de carpetas | C:\Users\Windows\Desktop\ C:\Users\Windows\Downloads\ C:\Users\Windows\Music\ C:\Users\Windows\Pictures\ C:\Users\Public\Documents\ C:\Users\Windows\Videos\ C:\users\%username%\downloads\ C:\Users\%username%\Documents\ C:\Users\%username%\Desktop\ C:\Users\%username%\Music\ C:\Users\%username%\Videos\ C:\Users\%username%\Pictures\ C:\DRIVERS C:\Games C:\NVIDIA |
El resultado es el cambio de nombre de todos los archivos a un nombre genérico, como ‘Lock_6.fille’. Entonces, si bien el contenido de estos archivos no ha sido modificado ni cifrado, las víctimas no tendrían forma de averiguar sus nombres originales.
Notas de rescate
Las notas de rescate se colocan en “windll.exe” en varios lugares con el nombre “Readme.txt“.
La nota exige un pago de $300 en Bitcoin en tres días, amenazando con duplicarlo a $600 por un plazo extendido de siete días, luego de lo cual todos los archivos se eliminarán permanentemente en el servidor del atacante.
En realidad, este ransomware falso no ha robado ningún dato. Y, tal como dijimos anteriormente, es poco probable que el autor del malware haya desarrollado una herramienta para recuperar los archivos.
“Incluso si se proporciona un descifrador, es imposible cambiar el nombre de los archivos a su nombre de archivo original, ya que el malware no los almacena en ningún lugar durante la infección”.
Cyble en su informe
Un limpiador de datos disfrazado
Sin embargo, el malware no parece ser ransomware y fue diseñado solo para usar el cifrado falso como señuelo mientras elimina casi todos los archivos en tus unidades.
Cyble descubrió que después de realizar el cifrado falso, el malware intenta ejecutar “dell.exe“, pero debido a un error de nombre que provoca que se elimine “del.exe”, este paso no funciona en la muestra vista por Cyble.
Si los ciberdelincuentes corrigen este error menor, “dell.exe” se ejecutará para eliminar todas las unidades del sistema de [A:\ – Z:\] excepto la unidad C:\.
Finalmente, el malware ejecuta “open.exe”, que instala y ejecuta “open.bat“, que, a su vez, se conecta a la URL “hxxps[:]//lllllllllll.loseyourip[.]com/downloads” y luego abre la nota de rescate.
Este ransomware falso es un excelente ejemplo de cómo el descuido puede conducir a la pérdida de datos, incluso por malware no sofisticado y con errores.
Una forma posible de recuperarse de este malware sería restaurar tu sistema operativo a un estado anterior, ya que el ransomware falso no elimina las instantáneas.
Por supuesto, esto aún podría provocar la pérdida de datos, según la fecha del último punto de restauración.
En general, las copias de seguridad periódicas de tus datos más importantes serían la mejor práctica, ya que la reinstalación del sistema operativo debería ser la forma más rápida de solucionar este problema.
Conclusión y medidas de prevención ante estos ataques
El ransomware falso actúa como un ransomware habitual, pero no cifra los archivos. Este falso ransomware muestra información falsa de que los archivos están cifrados y amenaza al usuario para pagar un rescate por el descifrado. Existe la posibilidad de que las víctimas paguen un rescate para recuperar los archivos, ya que se les cambia el nombre y quedan inutilizables. En este caso no estamos seguros de la autenticidad del descifrador si se paga el rescate
A continuación, te recomendamos algunas medidas que debes seguir para prevenir este tipo de ataques:
- Realizar prácticas regulares de copias de seguridad y mantener esas copias sin conexión o en una red separada.
- Activar la función de actualización automática de software en tu computadora, dispositivo móvil y otros dispositivos conectados siempre que sea posible y pragmático.
- Utilizar un paquete de software antivirus y de seguridad de Internet de renombre en tus dispositivos conectados, incluidos PC, portátiles y dispositivos móviles.
- Abstenerte de abrir enlaces y archivos adjuntos de correo electrónico que no sean de confianza sin verificar su autenticidad.
