Hace algunas horas comentaba el hallazgo de Trend Micro y el ransomware SMS que había generado 30 mil dólares en un mes, ahora me he encontrado con una variante que emplea un sitio falso de Kaspersky para propagar el malware:
A pesar de estar en ruso y no entenderse nada, el diseño es bastante bueno, los atacantes utilizan la palabra kaspepsky en el dominio para disimular:
Las descargas son instaladores falsos que no instalan ningún antivirus, como se puede ver en las siguientes capturas, la instalación parece normal pero en realidad el sistema se está infectando.
Al finalizar el asistente Windows se reinicia y se bloquean algunos componentes, algo parecido a lo que se puede ver en este video de otro ransomware:
Finalmente se solicita dinero para desbloquear Windows. Un análisis del archivo en VirusTotal revela su baja tasa de detección (4/41), el antivirus Kaspersky (real) lo detecta como Trojan-Ransom.MSIL.FakeInstaller.e.
En XyliBox se puede encontrar más información sobre el ejemplar.
Ver también:
Keygen falso de Kaspersky.
Versión falsa, Kaspersky Anti Virus Mini.
CD antivirus de Kaspersky para desinfectar y respaldar.