En el blog he comentado varios casos de ransomwares que bloquean el equipo y solicitan el envío de un SMS para recuperarlo, la mayoría de estos programas maliciosos se propagaban por medio de páginas para adultos.
Ahora parece que los atacantes han cambiado de estrategia, el malware se está propagando mediante todo tipo páginas falsas y una vez que infectan el sistema lo bloquean solicitando una llamada para activar la licencia de Windows:
Como se puede ver en la captura hay que llamar a un número telefónico e ingresar un código para recibir una licencia válida. Aunque en la ventana se mencione que el costo de la llamada es gratuito, esto no es cierto.
Son números internacionales que además pueden generar costos extras por minuto (servicios especiales), al llamar atiende una contestadora automática que simula el proceso de activación solicitando el código 7*108#. De esta forma los ciberdelincuentes ganan dinero y las víctimas simplemente creen que se trató de algo normal, generado por el sistema anti-piratería de Windows.
En el blog XyliBox podrás encontrar más detalles sobre el ataque y capturas de las páginas falsas que propagan este ransomware. Al momento de detectarlo sólo 3 motores de antivirus lo consideraban algún tipo de amenaza 3/42.
Ver también:
Activación falsa de Windows roba la tarjeta de crédito.
1.000 USD por día con una campaña de ransomware SMS.
Instalador y sitio falso de Kaspersky propaga ransomware.