Hace unos días comentaba que una banda de ciberdelincuentes rusos estaba obteniendo unos 1.000 USD al día infectando equipos con troyanos que bloquean Windows y solicitan el envío de mensajes de texto para recuperarlo.
La mayoría de las víctimas se infectan mediante páginas falsas para adultos como la siguiente:
En la captura se puede ver un sitio con videos, al hacer clic en cualquiera de ellos se muestra en primer plano un reproductor que se parece al de YouTube, en realidad es una imagen que inicia la descarga de un archivo llamado pornoplayer.exe:
Si el archivo se ejecuta, Windows se reinicia y muestra una ventana azul que solicita el envío del sms:
Esta pantalla ya es conocida, a principios de diciembre de 2010 comenté un caso similar y grabé un video que muestra cómo se bloquea Windows. Casi 2 meses después el mismo ataque sigue dando vueltas por la red, cazando nuevas víctimas y generando mucho dinero para los ciberdelincuentes.
La contraseña para desbloquear el equipo en este caso es TNMTTF (gracias XyliBox), un análisis en VirusTotal muestra que la mayoría de los antivirus lo detectan 28/41, pero no hay que dejarse engañar… este ejemplar ya tiene varios días de vida, cuando son nuevos las tasas de detección son mucho más bajas.
Para las empresas de antivirus es como el juego del gato y el ratón, los atacantes crean clones de estos sitios maliciosos en cuestión de minutos, les agregan nuevas variantes del malware y los propagan mediante spam… por eso el sentido común es nuestro mejor aliado, conociendo las metodologías básicas de los ataques evitamos la mayoría de los problemas.