Instalador y sitio falso de Kaspersky propaga ransomware

Hace algunas horas comentaba el hallazgo de Trend Micro y el ransomware SMS que había generado 30 mil dólares en un mes, ahora me he encontrado con una variante que emplea un sitio falso de Kaspersky para propagar el malware:

pagina-falsa-KasperskyPágina falsa de Kaspersky

A pesar de estar en ruso y no entenderse nada, el diseño es bastante bueno, los atacantes utilizan la palabra kaspepsky en el dominio para disimular:

Kaspersky-fake
Las descargas son instaladores falsos que no instalan ningún antivirus, como se puede ver en las siguientes capturas, la instalación parece normal pero en realidad el sistema se está infectando.

Al finalizar el asistente Windows se reinicia y se bloquean algunos componentes, algo parecido a lo que se puede ver en este video de otro ransomware:

instalador-falso-KasperskyInstalador falso de Kaspersky

Kaspersky-instalador
Finalmente se solicita dinero para desbloquear Windows. Un análisis del archivo en VirusTotal revela su baja tasa de detección (4/41), el antivirus Kaspersky (real) lo detecta como Trojan-Ransom.MSIL.FakeInstaller.e.

En XyliBox se puede encontrar más información sobre el ejemplar.

Ver también:
Keygen falso de Kaspersky.
Versión falsa, Kaspersky Anti Virus Mini.
CD antivirus de Kaspersky para desinfectar y respaldar.

1 comentario en «Instalador y sitio falso de Kaspersky propaga ransomware»

Deja un comentario