Hace unos días hacía referencia al troyano que sobrescribe el MBR para bloquear el equipo con una contraseña, en esta oportunidad les quería comentar el caso de otro troyano del tipo ransomware que bloquea el sistema y muestra la siguiente ventana:
El mensaje está en ruso y hay que llamar a un número premium para recibir una clave. De esta forma los atacantes ganar dinero con las comisiones.
El troyano simula ser un reproductor que se descarga desde una página para adultos, cuando se intenta ver un video se ofrece el archivo pornoplayer.exe:
En el siguiente video se lo puede ver en acción en una máquina virtual, al ejecutarlo el sistema se reinicia y se bloquea:
Las claves de desbloqueo las obtuve gracias a XyliBox, quien además ha grabado un excelente video mostrando cómo crackea la contraseña del ransomware (recomendado verlo).
Una vez que las claves se ingresan el troyano se desactiva y el sistema vuelve a la normalidad, de todas formas hay que realizar un análisis completo en busca de malwares para asegurarse.
Mucho cuidado con las descargas desde las páginas XXX!